Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] снова carberp , помогите скриптом

1 2 След.
RSS
 
Alzur
Alzur
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 08.12.2011
Размещено 08.12.2011 01:35:25
проблема уже всех достала понимаю, посмотрел популярные скрипты с похожих проблем но сам писать его не решаюсь. вот http://zalil.ru/32224085
Вот лог сканирования. к сожалению больше сколько ни сканировал информации не смог найти.
"Оперативная память » explorer.exe(2572) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна
Оперативная память » \\?\D:\UVS_V373\qkamoc - Ошибка открытия "
З.Ы.: Стоит ли пытаться самому написать скрип если познания в вопросе очень скудные?
Изменено: Alzur - 08.12.2011 02:00:59
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 08.12.2011 01:46:20
Цитата
Alzur пишет:
Стоит ли пытаться самому написать скрип если познания в вопросе очень скудные?
сначала с документацией желательно ознакомиться
кстати, смотрели что вы там залили? то далеко не лог
Правильно заданный вопрос - это уже половина ответа
 
Alzur
Alzur
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 08.12.2011
Размещено 08.12.2011 02:02:04
прошу прощения, бодун. Ссылку на лог поправил.
Вот что видно в автозагрузке. Удалить не получается - система жалуется что уже запущен.
Изменено: Alzur - 08.12.2011 02:06:45
 
marshal64
marshal64
Пользователь
Сообщений: 1023
Баллов: 818
Регистрация: 16.03.2010
Размещено 08.12.2011 02:16:32
Цитата
Alzur пишет:
Удалить не получается - система жалуется что уже запущен.
Ну, логи uVS, конечно, нужно делать, и скрипт писать.
Хотя, можно попробовать найти и закрыть соответствующий процесс в Диспетчере задач (или другой подобной программе), и потом удалить запись из автозагрузки.
 
Alzur
Alzur
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 08.12.2011
Размещено 08.12.2011 02:19:50
К сожалению я не на 100% уверен что ето вирус. В процессах его нету разве что запущеных svchost штук 10 бросаются в глаза.
Изучаю систему. Открываю С:\ (на нём система стоит) вижу папку с белебердой в названии, не задумываясь открываю. вижу какойто файл  с мыслями скорее удалить лезу назад удалить папку. она исчезла. название не запомнить папку не видно.
UP, натыкал папку удалил. не вирус(
UP
Цитата
кстати, еще одна вчерашняя примета, когда Carberp "переселяется" в бутсектор.
На диске, в корне появляются свежие папки, типа
Цитата
На Диске "С" появилась папка dN7HWwdAVcGfCf5
Изменено: Alzur - 08.12.2011 02:42:52
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 08.12.2011 02:39:28
я сейчас с телефона, скрипт дать не могу. попробуй ради интереса таким образом удалить вирус - http://forum.esetnod32.ru/messages/forum9/topic3089/message26169/#message26169
Правильно заданный вопрос - это уже половина ответа
 
Alzur
Alzur
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 08.12.2011
Размещено 08.12.2011 02:45:49
Эх жалко, скрипт нужен. Этот способ опробовал одним из первых, потом прочитал другие схожие темы, создал новую вот сейчас ищу всю информацию которая может помочь в написании скрипта) В предложенном способе у меня просматривая автозагрузку он не видит ничего подозрительного.
Изменено: Alzur - 08.12.2011 03:30:48
 
Alzur
Alzur
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 08.12.2011
Размещено 08.12.2011 03:35:12
Обновил НОД удалил первым способом. Остался вопрос - хвосты вируса вычистятся нодом или это надо сделать вручную? Если вручную где смотреть?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 08.12.2011 09:09:40
сделайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
посмотрим, какие хвосты остались
[ Как создать образ автозапуска? ]
 
Валентин
Валентин
Администратор
Сообщений: 5270
Баллов: 8441
Регистрация: 12.05.2010
Размещено 09.12.2011 09:49:25
Цитата
Alzur
Сделал образ автозапуска после убийства carberp-а нодом. http://zalil.ru/32228590
santy, проверь личные сообщения.
ESET Technical Support
 
1 2 След.
Читают тему