Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Win32/TrojanDownloader.Carberp.AD

1
RSS
 
aluril
aluril
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 18.01.2012
Размещено 01.02.2012 09:12:04
Добрый день!
Помогите, пожалуйста, избавиться от: Оперативная память » explorer.exe(1580) модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.02.2012 09:57:51
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена
стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрываем все браузеры перед выполнением скрипта
Код
;uVS v3.73.2 script [http://dsrt.dyndns.org]   

zoo %SystemDrive%\USERS\-\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EZZKZCQLLHM.EXE
addsgn A7679B19B92E2654E31A81B1644BD60176893CC552901712BCA9CBD6AA3E0567231740932E3F25A184AF849FC5D24D907BB51018C932E7052D7727EBCB2DFA19 8 TrojanDownloader.Carberp.AD [NOD32]

bl AA56DD97C895B7FA8CAA2D8A2376EC32 178688
delall %SystemDrive%\USERS\-\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EZZKZCQLLHM.EXE
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2010-10-04_13-30-55.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
если архив не был создан автоматически,
самостоятельно добавить папку ZOO (с копиями вирусов для вирлаба) в архив с паролем infected
------------
далее,
сделайте дополнительно проверку системы в малваребайт
[ Как создать образ автозапуска? ]
 
aluril
aluril
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 18.01.2012
Размещено 01.02.2012 10:27:44
Всё начал делать как Вы указали. Однако, наверное, надо было отключить NOD, потому что при запуске скрипта uvs, NOD сразу же изолировал папку ZOO. Процесс остановить было невозможно, поэтому далее проверил Malwarebytes - программа ничего не обнаружила. Мне надо заново всё повторить без NOD'а? Подскажите, пожалуйста.
Изменено: aluril - 01.02.2012 10:28:00
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.02.2012 10:44:18
все хорошо,
если Нод удалил данный файл из ZOO, значит уже есть в базах.
------
выполните наши рекомендации по безопасной работе в сети.
http://forum.esetnod32.ru/forum9/topic751/
если проблема решена,
закрываю тему.
Изменено: santy - 01.02.2012 10:45:13
[ Как создать образ автозапуска? ]
 
aluril
aluril
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 18.01.2012
Размещено 01.02.2012 10:54:23
Понял.
NOD пока не ругается на caber.
Надеюсь, помогло.
Спасибо Вам.

Цитата
если Нод удалил данный файл из ZOO, значит уже есть в базах
Но я так понимаю, что если опять подхвачу этот же троян, то надо будет вновь с ним разбираться таким же образом: через uvs & malwarebyte. Правильно? Ведь NOD пока ежё самостоятельно не ловит эту заразу?
Изменено: aluril - 01.02.2012 10:57:08
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.02.2012 11:07:36
Постарайтесь следовать нашим рекомендациям, в этом случае вероятность заражения будет меньше.
[ Как создать образ автозапуска? ]
 
1
Читают тему