Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Carberp.AD троянская программа - очистка невозможна , Оперативная память » explorer.exe(1881) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

1
RSS
 
Mikrik
Mikrik
Пользователь
Сообщений: 1
Регистрация: 02.02.2012
Размещено 02.02.2012 12:28:55
HELP!!!

Оперативная память » explorer.exe(1881) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна


http://zalil.ru/32627836
 
Валентин
Валентин
Администратор
Сообщений: 5270
Баллов: 8441
Регистрация: 12.05.2010
Размещено 02.02.2012 12:56:46
В программе которую скачали выше, запускаем еще раз, только теперь Меню Скрипт выполнить скрипт находящийся в буфере обмена.
И вставьте текст скрипта:

Цитата
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\I4YH6SDG8O.EXE
bl 29142C1BC4169C8B52D505C3B007190C 162304
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\I4YH6SDG8O.EXE
bl A99E87DBB933A92BEBC819BC2F449A44 185856
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\D67JJXISSES.EXE
bl EE4B779D59ADBA3C67AC496DDAD55E1A 171008
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\PBAOE5JSAEU.EXE
deltmp
delnfr
restart
И нажмите выполнить. Компьютер перезагрузится.

Сделайте дополнительно проверку системы malwarebytes (free version): http://www.malwarebytes.org/mbam.php
Установить (только сканер!), отказаться от тестового периода, обновить базы, выполнить быстрое сканирование, после завершения сканирования,текстовый лог сохранить как файл, пришлите нам этот лог файл.

В папке с программой UVS появится папка zoo, ее нужно поместить в архив, установить пароль infected и прислать на адрес [email protected]
restart
Изменено: Валентин - 02.02.2012 14:49:04 (Исправил ошибку во второй строке скрипта)
ESET Technical Support
 
nWc
nWc
Пользователь
Сообщений: 121
Баллов: 96
Регистрация: 15.12.2011
Размещено 02.02.2012 13:09:53
Ну или вариант=)
Установите unlocker и просто убейте файлы сидячие в автозагрузке. Свойства на файле в папке автозагрузка и там указан путь где сидят. Ну или так посмотреть из утилиты UVS
Изменено: nWc - 02.02.2012 13:10:20
 
Валентин
Валентин
Администратор
Сообщений: 5270
Баллов: 8441
Регистрация: 12.05.2010
Размещено 02.02.2012 13:17:21
nWc, смысла в этом не вижу. Зачем что-то ещё устанавливать, когда человек уже использует uvs, это раз, и к тому же нужен образец угрозы это два.
Через скрипт меньше вероятности что-то сделать не так.
ESET Technical Support
 
nWc
nWc
Пользователь
Сообщений: 121
Баллов: 96
Регистрация: 15.12.2011
Размещено 06.02.2012 10:20:31
Цитата
Валентин пишет:
nWc , смысла в этом не вижу. Зачем что-то ещё устанавливать, когда человек уже использует uvs, это раз, и к тому же нужен образец угрозы это два.

Через скрипт меньше вероятности что-то сделать не так.
Верно все, если в ручную сделать проблематично. В крайнем случае я свой убил так, удалил все темп инет файлы, далее искал в реестре, потом на самом диске С нашел пару левых файлов, ну и автозагрузке вышел на место где сидел exe -шник и unlockerom убил его.

Хотелось бы правда знать, что именно делает этот вирус? Кроме того что у меня перестали запускаться 4 браузера, и ничего такого не успел заметить.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.02.2012 10:34:03
nWc,
если есть проблема с системой после очистки системы вышеописанным (unlocker) методом,
откройте отдельную тему, как вообщем делают все посетители в разделе обнаружения кода.
+ добавить логи по нашим правилам.
[ Как создать образ автозапуска? ]
 
1
Читают тему