Размещено 06.12.2011 09:57:04
Полный образ автозапуска утилитой uVS прилагается. Буду благодарен за оказанную помощь
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
[ Закрыто ] модифицированный Win32/TrojanDownloader.Carberp.AF , Оперативная память » explorer.exe(544) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна
1
Размещено 06.12.2011 11:02:13
выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
перезагрузка, пишем о старых и новых проблемах.
архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
------------
сделайте дополнительно проверку системы в малваребайт
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
| Код |
|---|
;uVS v3.73 script [http://dsrt.dyndns.org] zoo %Sys32%\MSUOUTGF.EXE addsgn 79132211B9EBA03A0ED4AE3A69B402442501E98A99BB1FF1C84B4C31F02B8EB3AA8217ACC1AACE7AEBAB4614D316B20582567D6EAA254FA5A85B5FD03850ABF6 8 Carberp.W [NOD32] addsgn 79132211B9EBA05609D4AE82A4459E45F14FFCF60077E3867A3C968F90FDB0C5A6E33DA8C10314C44B7F7B60119D8871F023168DAA59495F59212FBA33F8DD8C 8 a variant of Win32/Kryptik.WHU [NOD32] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ИНТЕРКРОВ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl D7E9B2E9C5E5545CC47B29900DEADCCF 107820 bl 035A5A707DE266E4837A71382C01C9AB 166912 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ИНТЕРКРОВ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %Sys32%\MSUOUTGF.EXE chklst delvir delref HTTP://SEARCH.QIP.RU delref HTTP://WWW.YAHOO.COM deltmp delnfr restart |
перезагрузка, пишем о старых и новых проблемах.
архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
------------
сделайте дополнительно проверку системы в малваребайт
Размещено 06.12.2011 15:53:21
после запуска скрипта нод снова нашёл поганца:
Оперативная память » explorer.exe(2176) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна
Новый образ автозапуска ниже:
Оперативная память » explorer.exe(2176) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна
Новый образ автозапуска ниже:
Размещено 06.12.2011 16:01:31
упс... в предыдущем сообщении образ не полный. вот полный образ.
после запуска скрипта начала нещадно тормозить система
после запуска скрипта начала нещадно тормозить система
Размещено 06.12.2011 16:12:48
выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
перезагрузка, пишем о старых и новых проблемах.
архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
| Код |
|---|
;uVS v3.73 script [http://dsrt.dyndns.org] zoo %Sys32%\MSRMZLDV.EXE addsgn 79132211B9EBA0AE0BD4AED95BDC5205CD68F1F6899C2CA6088621ECB8287D4C23E01CA80B44F8092B68139346168EFF82BCA872AA254FD34777CC7AD346221B 8 new_vir bl D9BBB323550DE06A8004ED64B5921634 97664 delall %Sys32%\MSRMZLDV.EXE addsgn 79132211B9EBA06A09D4AE3A3114AB3F258AFCD54373529CD6480F8F90ED3CAC5648F842FAF5DF495ED73E0A49164973E88F178DAAD978A7B8275BD0383D37B7 8 Tr.Carberp zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ИНТЕРКРОВ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\J06BTWWHVVY.EXE bl 8C15B8E804D0BAA0F3371DC4749BC5F2 166912 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ИНТЕРКРОВ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\J06BTWWHVVY.EXE delall %Sys32%\XTGINA.DLL delall %Sys32%\BETWINSERVICEXP.EXE chklst delvir deltmp delnfr czoo restart |
перезагрузка, пишем о старых и новых проблемах.
архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
Размещено 07.12.2011 09:43:03
спасибо. после второго скрипта вирус в оперативной памяти удалён, система перестала подтормаживать
1
Читают тему