Размещено 02.12.2011 09:26:43
Образ автозапуска прикреплён как избавится от этой нечести не лайв сиди не чего не помогает
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.
На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения
PRO32
— надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.
Приглашаем вас присоединиться к новому форуму PRO32.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.
[ Закрыто ] explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF , троянская программа - очистка невозможна
1
Размещено 02.12.2011 09:49:43
похоже, здесь уже и BETWIN влепили для удаленного доступа.
-----
-----
| Цитата |
|---|
| Полное имя C:\WINDOWS\SYSTEM32\BETWINSERVICEVS.EXE Имя файла BETWINSERVICEVS.EXE Тек. статус ВИРУС ПОДОЗРИТЕЛЬНЫЙ отключенный сервис в автозапуске Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ отключенный сервис в автозапуске Размер 254536 байт Создан 23.08.2011 в 23:25:31 Изменен 30.09.2009 в 13:09:40 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись НАРУШЕНА, файл модифицирован или заражен Оригинальное имя BeTwinService.exe Версия файла 2.00 built by: WinDDK Описание BeTwin Terminal Services Производитель ThinSoft Pte Ltd. Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Цифровая подпись Недействительна (файл поврежден/заражен) Доп. информация на момент обновления списка SHA1 5A93D067693659DBDB7086B43333E6EACAD6EF12 MD5 6A0B195EE9C51AE89922166705ADC5A5 Ссылки на объект Ссылка HKLM\System\CurrentControlSet\Services\BeTwinService\ImagePa ImagePath System32\BeTwinServiceVS.exe BeTwinService тип запуска: Отключено (4) |
Размещено 02.12.2011 09:52:13
выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
перезагрузка, пишем о старых и новых проблемах.
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
| Код |
|---|
;uVS v3.73 script [http://dsrt.dyndns.org] zoo E:\НА CD\ДЛЯ WIN\ДЛЯ ВЗЛОМА ТРИАЛЬНЫХ ПРОГ\TIMEBACK.EXE addsgn 925277DA146AC1CC0B04504E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 tr1 zoo %Sys32%\BETWINSERVICEVS.EXE addsgn 1A7A5A9A5583158CF42B627DA804DE3E281275B5898F1D8B462AC29250D6BD80EFDB0FDCC10016A5A0C58C1A8640C20BBB99E47220B9588A0477A4A6810EA93B 8 betwimservices delall %Sys32%\BETWINSERVICEVS.EXE ; delall E:\НА CD\ДЛЯ WIN\ДЛЯ ВЗЛОМА ТРИАЛЬНЫХ ПРОГ\TIMEBACK.EXE fixvbr D: 6 deltmp delnfr restart |
перезагрузка, пишем о старых и новых проблемах.
Изменено: santy - 02.12.2011 09:54:32
(закоментил строку удаления с CD)
Размещено 02.12.2011 10:04:04
Спасибо перезагрузился-проблем не обнаружено, лог журнала обнаружения угроз в сообщении.
Размещено 02.12.2011 10:17:11
нескучный журнал у вас
похоже заражен был загрузчик на диске D, на него ESET ругался. А что у вас на диске D? тоже установлена система?
Имеет смысл сделать полную проверку диска, если Expiro у вас свободно гуляет.
+
сделайте дополнительно проверку системы в малваребайт
| Цитата |
|---|
| 02.12.2011 9:10:48 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(4028) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна _T_-ПК\_T_ |
Имеет смысл сделать полную проверку диска, если Expiro у вас свободно гуляет.
+
сделайте дополнительно проверку системы в малваребайт
Размещено 02.12.2011 10:22:17
Malwarebytes' Anti-Malware 1.51.2.1300
Версия базы данных: 8289
Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421
02.12.2011 10:15:05
mbam-log-2011-12-02 (10-15-05).txt
Тип сканирования: Быстрое сканирование
Просканированные объекты: 188978
Времени прошло: 4 минут, 23 секунд
Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 0
Объекты реестра заражены: 1
Зараженные папки: 0
Зараженные файлы: 2
Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)
Зараженные модули в памяти:
(Вредоносных программ не обнаружено)
Зараженные ключи в реестре:
(Вредоносных программ не обнаружено)
Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\COMSYSA
Зараженные папки:
(Вредоносных программ не обнаружено)
Зараженные файлы:
c:\Users\_T_\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Quarantined and deleted successfully.
c:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Quarantined and deleted successfully.
Версия базы данных: 8289
Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421
02.12.2011 10:15:05
mbam-log-2011-12-02 (10-15-05).txt
Тип сканирования: Быстрое сканирование
Просканированные объекты: 188978
Времени прошло: 4 минут, 23 секунд
Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 0
Объекты реестра заражены: 1
Зараженные папки: 0
Зараженные файлы: 2
Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)
Зараженные модули в памяти:
(Вредоносных программ не обнаружено)
Зараженные ключи в реестре:
(Вредоносных программ не обнаружено)
Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\COMSYSA
Зараженные папки:
(Вредоносных программ не обнаружено)
Зараженные файлы:
c:\Users\_T_\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Quarantined and deleted successfully.
c:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Quarantined and deleted successfully.
Размещено 02.12.2011 10:23:31
Да на диске д стоит вин хр на с стоит 7, что порекомендуете ? Нод последний версии лайв СД не нашёл ничего на обоих дисках.
Размещено 02.12.2011 10:34:08
заражение было на второй системе (на D), но антивир на C видимо проверяет все загрузочные сектора на диске.
выполните наши рекомендации
тему закрываем.
выполните наши рекомендации
тему закрываем.
1
Читают тему