Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Win32/Carberp.a; модифицированный Win32/TrojanDownloader.Carberp.AF , Заражение в памяти

1
RSS
 
kostyanich
kostyanich
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 30.11.2011
Размещено 30.11.2011 14:01:34
Добрый день.
Появилась проблема. Win32/Carberp.a; модифицированный Win32/TrojanDownloader.Carberp.AF.
Не лечатся- говорит что в оперативной памяти.
Вот записи журнала антивируса.
30.11.2011 12:07:06 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » svchost.exe(1464) модифицированный Win32/Carberp.A троянская программа очистка невозможна ANATOLE\AdminNT
30.11.2011 12:02:09 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » svchost.exe(1464) модифицированный Win32/Carberp.A троянская программа очистка невозможна
30.11.2011 11:33:35 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » svchost.exe(1464) модифицированный Win32/Carberp.A троянская программа очистка невозможна ANATOLE\AdminNT
30.11.2011 11:09:56 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » svchost.exe(1512) модифицированный Win32/Carberp.A троянская программа очистка невозможна ANATOLE\AdminNT
29.11.2011 20:21:18 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(204) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна ANATOLE\AdminNT
29.11.2011 19:32:27 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » svchost.exe(1472) модифицированный Win32/Carberp.A троянская программа очистка невозможна ANATOLE\AdminNT
29.11.2011 19:11:30 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1112) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна ANATOLE\AdminNT
29.11.2011 10:43:36 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1168) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна ANATOLE\AdminNT
28.11.2011 20:23:43 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1716) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна ANATOLE\AdminNT
28.11.2011 16:53:28 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1828) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна ANATOLE\AdminNT
28.11.2011 14:01:33 Защита в режиме реального времени файл C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0075\opr00O84.tmp HTML/ScrInject.B.Gen вирус ANATOLE\AdminNT Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\explorer.exe.
28.11.2011 13:40:02 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1668) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна ANATOLE\AdminNT
28.11.2011 13:16:01 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1696) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна ANATOLE\AdminNT
28.11.2011 10:26:43 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1524) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна ANATOLE\AdminNT
27.11.2011 14:38:31 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(452) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна ANATOLE\AdminNT
26.11.2011 17:44:19 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(124) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна ANATOLE\AdminNT
26.11.2011 14:23:49 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1888) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна ANATOLE\AdminNT
Изменено: kostyanich - 30.11.2011 14:02:02
 
kostyanich
kostyanich
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 30.11.2011
Размещено 30.11.2011 14:02:23
Заранее спасибо за помощь  ;)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.11.2011 14:29:00
1. на диске D есть установленная система?
2.
выполните сканирование в МБАМ
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
 
kostyanich
kostyanich
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 30.11.2011
Размещено 30.11.2011 14:40:33
1. На диске D системы нет.
2. Отчет прикрепил.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.11.2011 19:25:25
закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

Код

;uVS v3.72 script [http://dsrt.dyndns.org]

fixvbr D: 5
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
-----------
удалить в МБАМ

Цитата
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.

Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Зараженные папки:
(Вредоносных программ не обнаружено)

Зараженные файлы:
c:\documents and settings\admin\application data\igfxtray.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> No action taken.

новый лог МБАМ
[ Как создать образ автозапуска? ]
 
kostyanich
kostyanich
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 30.11.2011
Размещено 01.12.2011 10:19:07
Спасибо большое!
Вроде как все хорошо  ;)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.12.2011 10:30:09
странно, что Carberp написал свой код не в основной загрузочный раздел.
----------
закрываем тему.
[ Как создать образ автозапуска? ]
 
1
Читают тему