Помогите удалить вирус - Форум технической поддержки ESET NOD32

Сообщений: 6

Баллов: 3

Регистрация: 15.12.2011

Размещено 15.12.2011 03:10:16

С помощью программы UVS произвел скрипт как указано сдесь http://forum.esetnod32.ru/forum9/topic2478/ после чего отправил получивийся архив [email protected], также сделал проверку программой malwarebytes как сказано сдесь http://forum.esetnod32.ru/forum9/topic682/ сделал лог и удалил инфицированные обьекты но НОД все равно ругается и чтото находит

Прикрепленные файлы

script1.txt (1.1 КБ)
2011-12-15_01-57-01_log.txt (17.17 КБ)
mbam-log-2011-12-15 (02-17-34).txt (1.83 КБ)

Изменено: 66int - 15.12.2011 03:22:11

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.12.2011 05:55:34

образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
нужен здесь на форуме,
или на http://rghost.ru

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 15.12.2011

Размещено 15.12.2011 08:30:10

полный образ автозапуска

Прикрепленные файлы

DNAPC_2011-12-15_07-26-51.rar (329.38 КБ)

Изменено: 66int - 15.12.2011 08:31:58

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.12.2011 08:58:29

добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 15.12.2011

Размещено 15.12.2011 11:53:07

обнаруженные угрозы

Прикрепленные файлы

угрозы.txt (217.12 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.12.2011 12:16:12

выполните полное сканирование системы в ESET NOD32.
лог сканирования можно сюда добавить.
для проверки, выдержала система атаку Expiro или нет.
-------
хотя судя по дате заражения - ESET NOD32 выдержал заражение Expiro

Цитата
13.12.2011 14:38:31 Защита в режиме реального времени файл C:\Windows\winhlp32.vir Win32/Expiro.NAB вирус очищен - изолирован DNAPC\Администратор Событие произошло в новом файле, созданном следующим приложением: C:\Users\Администратор\AppData\Local\Temp\9902.tmp.

но пропустил Carberp

Изменено: santy - 15.12.2011 12:17:39

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.12.2011 12:19:08

в МБАМ удалите все найденные объекты, кроме

Цитата
Объекты реестра заражены: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Цитата

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

+
лог tdsskiller
Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 15.12.2011

Размещено 15.12.2011 12:44:09

МБАМ??

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 15.12.2011 12:49:18

Цитата
66int пишет: МБАМ

Malwarebytes

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6

Баллов: 3

Регистрация: 15.12.2011

Размещено 15.12.2011 13:00:15

удалил все лишнее с карантина сделал TDSSKiller вылезло 2 файла один поставил удалить другой вылечить

Прикрепленные файлы

TDSSKiller.2.6.23.0_15.12.2011_11.50.21_log.txt (89.05 КБ)

[ Закрыто ] Помогите удалить вирус , Оперативная память » explorer.exe(284) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна