Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Carberp.AD троянская программа - очистка невозможна , Оперативная память » explorer.exe(1881) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

1
RSS
 
Mikrik
Mikrik
Пользователь
Сообщений: 1
Регистрация: 02.02.2012
Размещено 02.02.2012 12:28:55
HELP!!!

Оперативная память » explorer.exe(1881) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна


http://zalil.ru/32627836
 
Валентин
Валентин
Администратор
Сообщений: 5198
Баллов: 4168
Регистрация: 12.05.2010
Размещено 02.02.2012 12:56:46
В программе которую скачали выше, запускаем еще раз, только теперь Меню Скрипт выполнить скрипт находящийся в буфере обмена.
И вставьте текст скрипта:

Цитата
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\I4YH6SDG8O.EXE
bl 29142C1BC4169C8B52D505C3B007190C 162304
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\I4YH6SDG8O.EXE
bl A99E87DBB933A92BEBC819BC2F449A44 185856
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\D67JJXISSES.EXE
bl EE4B779D59ADBA3C67AC496DDAD55E1A 171008
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\PBAOE5JSAEU.EXE
deltmp
delnfr
restart
И нажмите выполнить. Компьютер перезагрузится.

Сделайте дополнительно проверку системы malwarebytes (free version): http://www.malwarebytes.org/mbam.php
Установить (только сканер!), отказаться от тестового периода, обновить базы, выполнить быстрое сканирование, после завершения сканирования,текстовый лог сохранить как файл, пришлите нам этот лог файл.

В папке с программой UVS появится папка zoo, ее нужно поместить в архив, установить пароль infected и прислать на адрес [email protected]
restart
Изменено: Валентин - 02.02.2012 14:49:04 (Исправил ошибку во второй строке скрипта)
ESET Technical Support
 
nWc
nWc
Пользователь
Сообщений: 121
Баллов: 96
Регистрация: 15.12.2011
Размещено 02.02.2012 13:09:53
Ну или вариант=)
Установите unlocker и просто убейте файлы сидячие в автозагрузке. Свойства на файле в папке автозагрузка и там указан путь где сидят. Ну или так посмотреть из утилиты UVS
Изменено: nWc - 02.02.2012 13:10:20
 
Валентин
Валентин
Администратор
Сообщений: 5198
Баллов: 4168
Регистрация: 12.05.2010
Размещено 02.02.2012 13:17:21
nWc, смысла в этом не вижу. Зачем что-то ещё устанавливать, когда человек уже использует uvs, это раз, и к тому же нужен образец угрозы это два.
Через скрипт меньше вероятности что-то сделать не так.
ESET Technical Support
 
nWc
nWc
Пользователь
Сообщений: 121
Баллов: 96
Регистрация: 15.12.2011
Размещено 06.02.2012 10:20:31
Цитата
Валентин пишет:
nWc , смысла в этом не вижу. Зачем что-то ещё устанавливать, когда человек уже использует uvs, это раз, и к тому же нужен образец угрозы это два.

Через скрипт меньше вероятности что-то сделать не так.
Верно все, если в ручную сделать проблематично. В крайнем случае я свой убил так, удалил все темп инет файлы, далее искал в реестре, потом на самом диске С нашел пару левых файлов, ну и автозагрузке вышел на место где сидел exe -шник и unlockerom убил его.

Хотелось бы правда знать, что именно делает этот вирус? Кроме того что у меня перестали запускаться 4 браузера, и ничего такого не успел заметить.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 06.02.2012 10:34:03
nWc,
если есть проблема с системой после очистки системы вышеописанным (unlocker) методом,
откройте отдельную тему, как вообщем делают все посетители в разделе обнаружения кода.
+ добавить логи по нашим правилам.
[ Как создать образ автозапуска? ]
 
1
Читают тему