Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

tr.Carberp.AF

1 2 След.
RSS
 
Armyanin
Armyanin
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 06.12.2011
Размещено 06.12.2011 15:32:30
Ре алл
аналогичная ситуация заражен explorer.exe
http://rghost.ru/33449021
Спасибо
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.12.2011 16:31:51
добавьте журнал обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
[ Как создать образ автозапуска? ]
 
Armyanin
Armyanin
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 06.12.2011
Размещено 06.12.2011 16:33:04
сорри чтото наплодил сообщений
 
Armyanin
Armyanin
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 06.12.2011
Размещено 06.12.2011 18:03:48
журнал обнаружения угроз
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.12.2011 05:35:00
Цитата
06.12.2011 13:03:09 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(2012) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна
06.12.2011 12:18:34 Защита в режиме реального времени файл C:\WINDOWS\system32\drivers\sfc.sys модифицированный Win32/Hodprot.AR троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\winlogon.exe.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.12.2011 05:41:26
1. замените в безопасном режиме файл sfcfiles.dll
Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\SFCFILES.DLL
Имя файла                   SFCFILES.DLL
Тек. статус                 ИЗВЕСТНЫЙ в автозапуске
                           
www.virustotal.com          Хэш НЕ найден на сервере.
                           
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ в автозапуске
Размер                      1571840 байт
Создан                      23.08.2008 в 16:49:04
Изменен                     23.08.2008 в 16:52:28
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        C6F7DC3C2A4F1DB7CADD56C63F1402823CBF9F91
MD5                         9690CB3B4C87E5947F5C6F48EE28B94B
                           
2.  выполнить в UVS скрипт

выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

Код

;uVS v3.73 script [http://dsrt.dyndns.org]

delall %SystemDrive%\DOCUME~1\USER\LOCALS~1\TEMPOR~1\CONTENT.IE5\FVCH8QL9\2A345C~1.EXE
delall %Sys32%\EVACTE.EXE
delall %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\SETUPAPI.DLL
delall %Sys32%\SV8STXR.EXE
delall %Sys32%\WCKYCTH.EXE
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
regt 5
regt 13
regt 18
regt 23
restart


перезагрузка, пишем о старых и новых проблемах.

3. сделайте лог tdsskiller
Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа нарвется на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.
Изменено: santy - 07.12.2011 12:50:27
[ Как создать образ автозапуска? ]
 
Armyanin
Armyanin
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 06.12.2011
Размещено 07.12.2011 12:45:05
по п 1 надо вынуть файл из дистрибутива? я правильно понял?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.12.2011 12:46:45
из дистриба, или с чистой машины с аналогичной OS
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.12.2011 12:52:47
образ uVS из активной системы неполный, судя по всему руткит в системе
--------------------------------------------------------
Цитата
(!) Не удалось получить прямой доступ к физическому диску #0, возможно в системе активен руткит!
............
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explor­er
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explor­er
(!) Не удалось открыть ключ: [Отказано в доступе. ]
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.12.2011 12:56:41
так же
если есть возможность создать LiveCD (WinPE&uVS),
можно применить метод поиска руткитов по файлу сверки
http://forum.esetnod32.ru/forum9/topic2729/
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему