Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Модификация TrojanDownloader.Carberp.AF. Очистка невозможна.

1
RSS
 
ChYuA
ChYuA
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 25.11.2011
Размещено 25.11.2011 15:53:55
Обнаружился вирус-троянец в оперативной памяти.
Антивирус ESET Smart Security 5.0.94.8 его не хочет удалять  :(

Полное название explorer.exe(*)- модифицированный Win32/TrojanDownloader.Carberp.AF.
*меняет свой номер каждый раз при сканировании.

Проверила программами:
1. uVS. Скачено отсюда:http://forum.esetnod32.ru/forum9/topic2687/
2. Malwarebytes Anti-Malware.

Первая программа предоставила отчёт всего-то ничего.
Вторая была щедра по обнаружению вирусов.

Файлы прикрепляю.

Очень жду помощи  :!:
Изменено: ChYuA - 25.11.2011 15:55:43
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 25.11.2011 15:59:48
В программе МБАМ

Удалить все кроме

Код
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.


ПК презагрузить и выполнить скан еще раз.

Сообщить о результате.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.11.2011 16:05:21
образ автозапуска переделать
http://forum.esetnod32.ru/forum9/topic2687/
и залить на http://rghost.ru
[ Как создать образ автозапуска? ]
 
ChYuA
ChYuA
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 25.11.2011
Размещено 25.11.2011 19:01:52
Цитата
zloyDi пишет:
В программе МБАМ

Удалить все кроме

Код
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.


ПК презагрузить и выполнить скан еще раз.

Сообщить о результате.

Cделала так, как Вы написали.
Большая часть вредин была уничтожена.
Но сам вирус остался.

Файл прикрепляю.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 25.11.2011 19:03:26
Удалить только
Код
Зараженные файлы:
c:\documents and settings\user\главное меню\программы\автозагрузка\igfxtray.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> No action taken.


Выполнить лог
http://forum.esetnod32.ru/messages/forum6/topic2902/message24703/#message24703
 
ChYuA
ChYuA
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 25.11.2011
Размещено 25.11.2011 19:04:58
Цитата
santy пишет:
образ автозапуска переделать
http://forum.esetnod32.ru/forum9/topic2687/
и залить на http://rghost.ru

Переделала.

Ссылка на файл - My Webpage
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.11.2011 19:10:28
по образу автозапуска.
----------
закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

Код

;uVS v3.72 script [http://dsrt.dyndns.org]

fixvbr C: 5
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
[ Как создать образ автозапуска? ]
 
ChYuA
ChYuA
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 25.11.2011
Размещено 25.11.2011 21:48:08
Робко, но радостно: ребята, он удалился! :idea:
МБАМ его зафиксировал и удалил!

Проверяла несколько раз и через ESET Smart Security, и через МБАМ - нет его  :)

santy, сделала так, как Вы написали, отчёт предоставляю - My Webpage-2

zloyDi, у меня вопрос, а что мне делать с этими тремя файлами:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Они так и идут инфицированными. Не обращать на них внимания?
Файл прилагаю.
Изменено: ChYuA - 25.11.2011 21:48:42
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 25.11.2011 21:52:59
Эти 3 записи вполене нормальны!

Выполнить

если вы используете Windows XP
установите сервис-пак SP3 + все последующие критические обновления для операционной системы.

Установите Internet Explorer 8
скачать отсюда
http://www.microsoft.com/rus/windows/internet-explorer/default.aspx

если установлена Java, обновить ее до текущей версии
скачать отсюда
http://www.java.com/ru/download/manual.jsp

обновите ПО:
Adobe Flash Player отсюда
http://get.adobe.com/ru/flashplayer/

Adobe Acrobat Reader
http://get.adobe.com/reader/
 
ChYuA
ChYuA
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 25.11.2011
Размещено 25.11.2011 22:46:26
Цитата
zloyDi пишет:
Эти 3 записи вполене нормальны!

Выполнить

если вы используете Windows XP
установите сервис-пак SP3 + все последующие критические обновления для операционной системы.

Установите Internet Explorer 8
скачать отсюда
http://www.microsoft.com/rus/windows/internet-explorer/default.aspx

если установлена Java, обновить ее до текущей версии
скачать отсюда
http://www.java.com/ru/download/manual.jsp

обновите ПО:
Adobe Flash Player отсюда
http://get.adobe.com/ru/flashplayer/

Adobe Acrobat Reader
http://get.adobe.com/reader/

Скачала, обновила то, что можно обновить.
До обновления ОС ещё не дошла.

Рано я обрадовалась, что от вируса избавилась... :(
Ещё один нашёлся из этой же серии. Удалила так, как было сказано в предыдущих записях.
Буду смотреть, что дальше будет твориться.
Если что, сразу буду сообщать вам.
 
1
Читают тему