Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Оперативная память - модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

1
RSS
 
Gr@m0zek@
Gr@m0zek@
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 08.01.2012
Размещено 08.01.2012 10:53:46
Доброго времени суток!
Помогите удалить трояна.
Вот лог автозапуска.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 08.01.2012 11:16:47
выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

Код

;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\USERS\АЛИСА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IGFXTRAY.EXE
addsgn 925277DA146AC1CC0B04504E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 57 Carberp

addsgn A7679B19B192CD9EB3D5AEB1C5C8524525B9387F0DDEAB7985C393EBAFC34D7C631748A70D951D7709F5871C8617CA3C7C5C1070292A3B111947E42FAF961333 8 Trojan.DownLoad1.36163 [DrWeb]

zoo %Sys32%\DLLCACHE\SVCHOST.EXE
addsgn A7B424CCBD634C720BD5AEB460CD1604258B7192ADFE489185C3C5BCB8080C4C2375B9D544D7C72B713D031EC42ED260BCBD8A08D780D276B690DE4DA55A46D9 8 Win32/Rootkit.Kryptik.EH [NOD32]

zoo %SystemRoot%\USIKI.SYS
bl 09A3A5D59FC8CFBCB878D44283F95F68 209920
delall %SystemDrive%\USERS\АЛИСА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IGFXTRAY.EXE
delall %Sys32%\DLLCACHE\SVCHOST.EXE
deltmp
delnfr

sreg
delref %SystemRoot%\USIKI.SYS
areg


перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 08.01.2012 11:17:44
далее,
сделайте дополнительно проверку системы в малваребайт
[ Как создать образ автозапуска? ]
 
Gr@m0zek@
Gr@m0zek@
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 08.01.2012
Размещено 08.01.2012 12:13:18
santy, спаибо!
Все получилось!
Есть вопрос...
А архив обязательно отправлят надо?


архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected[/B]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 08.01.2012 14:35:30
Да, обязательно. чтобы вирлаб добавил в базы сигнатуры тех файлов, которые не детектируются.
+
сделайте дополнительно проверку системы в малваребайт
[ Как создать образ автозапуска? ]
 
1
Читают тему