Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] NOD32 нашел в оперативной памяти вирус

1
RSS
 
tabak96
tabak96
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 03.02.2012
Размещено 03.02.2012 15:43:50
NOD32  нашел в оперативной памяти вирус

03.02.2012 0:39:49 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1916) вероятно модифицированный  Win32/TrojanDownloader.Carberp.AD  троянская программа очистка невозможна Max-ПК\Max

Что делать???Помогите!(
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 03.02.2012 16:34:12
Сделайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
 
tabak96
tabak96
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 03.02.2012
Размещено 03.02.2012 16:41:28
Вот сделал http://rghost.ru/36318693
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 03.02.2012 16:48:33
Перейдите по этому пути: C:\USERS\MAX\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\W2OXGWZ5V2U.EXE
И упакуйте в архив с паролем virus файл W2OXGWZ5V2U.EXE
Архив отправьте на http://rghost.ru (сайт предоставит ссылку на файл)

Далее выполните скрипт:
Код
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\MAX\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\W2OXGWZ5V2U.EXE
bl 63C1EE083093BCFC10607BBBF5328D7F 180224
delall %SystemDrive%\USERS\MAX\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\W2OXGWZ5V2U.EXE

В меню выберите "Скрипт" и "Выполнить скрипт находящийся в буфере обмена..."
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 03.02.2012 16:56:54
Виктор,
чет у тебя какая-то урезанная версия скрипта...
Цитата
Виктор пишет:
упакуйте в архив с паролем virus файл W2OXGWZ5V2U.EXE
он этого файла там просто не найдет. ты ведь сам потом скриптом его упаковываешь в архив
Правильно заданный вопрос - это уже половина ответа
 
tabak96
tabak96
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 03.02.2012
Размещено 03.02.2012 17:00:21
файл нашел и упаковал http://rghost.ru/36319028.  Так что теперь мне делать?? Скрипт в программе еще не использовал
Изменено: tabak96 - 03.02.2012 17:00:47
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 03.02.2012 17:04:42
Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!
Код
;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1


delref HTTP://WWW.MAIL.RU/CNT/5087
bl 63C1EE083093BCFC10607BBBF5328D7F 180224
delall %SystemDrive%\USERS\MAX\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\W2OXGWZ5V2U.EXE
deltmp
delnfr
restart

И жмем Выполнить. После выполнения скрипта - ПК перезагрузится.
После перезагрузки сделать лог Malwarebytes и выложить сюда. Можно сделать быструю проверку, а не полную.

Файл отправлять никуда не надо, он видится уже Нодом
Правильно заданный вопрос - это уже половина ответа
 
tabak96
tabak96
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 03.02.2012
Размещено 03.02.2012 17:25:55
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Версия базы данных:  v2012.02.03.05

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
Max :: MAX-ПК [администратор]

03.02.2012 15:19:21
mbam-log-2012-02-03 (15-23-28).txt

Тип сканирования:  Быстрое сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты:  164595
Времени прошло:  3 минут , 24 секунд

Обнаруженные процессы в памяти:  0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти:  0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре:  0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре:  0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены:  0
(Вредоносных программ не обнаружено)

Обнаруженные папки:  0
(Вредоносных программ не обнаружено)

Обнаруженные файлы:  1
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

(конец)

Вот сделал. Зараженный файл удалять???
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 03.02.2012 17:27:11
Да, удалить. Затем Выполните рекомендации
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 03.02.2012 17:48:55
хм, а Виктор у нас тоже решил практиковаться в лечении заражений?
[ Как создать образ автозапуска? ]
 
1
Читают тему