Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Win32/TrojanDownloader.Carberp.AF

1
RSS
 
Zeratyl
Zeratyl
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 17.11.2011
Размещено 17.11.2011 16:52:59
Столкнулся с такой вот проблемой Operating memory » explorer.exe(3004) a variant of Win32/TrojanDownloader.Carberp.AF trojan unable to clean ничего подозрительного в SysInspector не выявил, но каждый раз при запуске появляется такая вот проблема
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.11.2011 17:02:37
сделайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
 
Zeratyl
Zeratyl
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 17.11.2011
Размещено 17.11.2011 18:00:19
Запрошенный образ
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.11.2011 18:30:34
1. по Carberp все понятно, вылечим скриптом.
2. в uVS есть подозрение на руткит.
Цитата
(!) Не удалось получить прямой доступ к физическому диску #0, возможно в системе активен руткит!
....
Нет доступа к файлу, возможно файл защищен [ C:\NTDETECT.COM ]
(!) Не удалось получить доступ к C:\NTDETECT.COM
Ошибка доступа к файлу: C:\NTDETECT.COM
Нет доступа к файлу, возможно файл защищен [ C:\NTLDR ]
а вот вторую проблему видимо придется решать комбинированным путем.
Сможете выполнить поиск руткита по файлу сверки?
http://forum.esetnod32.ru/forum9/topic2729/
---------------
1.
выполнить скрипт в uVS
(закрыть браузеры перед выполнением скрипта)
меню - скрипты - выполнить скрипт из буфера обмена

Код

;uVS v3.72 BETA 4 script [http://dsrt.dyndns.org]

addsgn A7679B1BB91A4E720B5FEB0DE98492CD0E42D73EB23B6A41B6114E3918298EB31E4049573E21B762FBB344B48E9B0DF372F42A4994AEAAA7B83F5BD0388B6EE1 8 a variant of Win32/Kryptik.VNH [NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\L.ZADINA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 2F904D2950909F857B5D476BB81BB125 159744
delall %SystemDrive%\DOCUMENTS AND SETTINGS\L.ZADINA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
chklst
delvir
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.

новый образ автозапуска,
или новый образ автозапуска из под Live.CD с учетом поиска руткита.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.11.2011 18:33:31
как создать загрузочный диск WinPE&uVS
http://forum.esetnod32.ru/forum6/topic2102/
можно так же использовать любой загрузочный диск с возможностью запуска uVS с флэшки, или с жесткого диска.
[ Как создать образ автозапуска? ]
 
Zeratyl
Zeratyl
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 17.11.2011
Размещено 18.11.2011 12:40:40
Выполнил скрипт, он отчистил. Спасибо, пока сделать файл сверки не получается по времени. Возможно доступа нет, так как у пользователя нет прав администратора.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.11.2011 13:29:55
хорошо, по возможности сделайте файл сверки и поиск руткитов.

Eset Sysinspector так же показывает наличие сервисов, к которым доступ запрещен.
Цитата
"WmiApRpl" = "<no access>" Автoмaтичecкий ; Загружено ; ( 9: Рисковано ) ;
"TlntSvr" = "<no access>" Автoмaтичecкий ; Загружено ; ( 9: Рисковано ) ;
[ Как создать образ автозапуска? ]
 
1
Читают тему