Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] TrojanDownloader.Carberp.AD , Не удаляется троян.

1
RSS
 
Зануда
Зануда
Пользователь
Сообщений: 29
Баллов: 14
Регистрация: 17.02.2012
Размещено 17.02.2012 19:06:36
Здравствуйте!
У меня лицензионная версия антивируса.

Антивирус выдает: TrojanDownloader.Carberp.AD

Сделал как описано: http://forum.esetnod32.ru/forum9/topic2687/

Вот файл  полного образа загрузки http://rghost.ru/36568288

Помогите пожалуйста!
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 17.02.2012 20:01:53
Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!
Код
;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref HTTP://START.FACEMOODS.COM/?A=MAKE&F=2
delall %SystemDrive%\DOCUMENTS AND SETTINGS\1.2-7SAF7CMO0WEBG\LOCAL SETTINGS\TEMP\XQPJU.BAT
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1.2-7SAF7CMO0WEBG\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ONNJWTB4XVU.EXE
bl 9E688B09371E6915C19797E2080FB2FB 170496
delmz %SystemDrive%\DOCUMENTS AND SETTINGS\1.2-7SAF7CMO0WEBG\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ONNJWTB4XVU.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\1.2-7SAF7CMO0WEBG\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ONNJWTB4XVU.EXE
delall %SystemDrive%\DOCUME~1\115A3~1.2-7\LOCALS~1\TEMP\CPUZ132\CPUZ132_X32.SYS
deltmp
delnfr
regt 14
czoo
restart

И жмем Выполнить. После выполнения скрипта - ПК перезагрузится.
В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес [email protected].  Если архив не появился, то сами архивируем папку ZOO, ставим пароль virus и отправляем на адрес.
После перезагрузки сделать лог Malwarebytes и выложить сюда. Можно сделать быструю проверку, а не полную.
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 17.02.2012 20:02:19
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delall %SystemDrive%\DOCUMENTS AND SETTINGS\1.2-7SAF7CMO0WEBG\LOCAL SETTINGS\TEMP\XQPJU.BAT
addsgn 9252772A116AC1CC0BB4554E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4BA6C0503E021E8A2FD3ECE6391449ACFE1CEC21051DB32F2D75A4BF9251B225 8 tr.Carberp

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1.2-7SAF7CMO0WEBG\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ONNJWTB4XVU.EXE
bl 9E688B09371E6915C19797E2080FB2FB 170496
delall %SystemDrive%\DOCUMENTS AND SETTINGS\1.2-7SAF7CMO0WEBG\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ONNJWTB4XVU.EXE
delall %SystemDrive%\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.11\FACEMOODSTLBR.DLL
delall %SystemDrive%\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.11\BH\FACEMOODS.DLL
chklst
delvir
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delall ACHINE_ID=7D1208CF9F747C7E5E56F3210EC52057&BROWSER=IE&OS=WIN&OS_VERSION=5.1-X86-SP3\HTTP://KLIT.STARTNOW.COM/?SRC=STARTPAGE&PROVIDER=&PROVIDER_NAME=YAHOO&PROVIDER_CODE=&PARTNER_ID=693&PRODUCT_ID=741&AFFILIATE_ID=&CHANNEL=&TOOLBAR_ID=200&TOOLBAR_VERSION=2.4.0&INSTALL_COUNTRY=RU&INSTALL_DATE=20120109&USER_GUID=3544D58126FD480FAA753924348F02A7&MACHINE_ID=7D1208CF9F747C7E5E56F3210EC52057&BROWSER=IE&OS=WIN&OS_VERSION=5.1-X86-SP3
delref HTTP://START.FACEMOODS.COM/?A=MAKE&F=2
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 17.02.2012 20:03:13
два скрипта выполните подряд. потом сканирование в мбам.
[ Как создать образ автозапуска? ]
 
Зануда
Зануда
Пользователь
Сообщений: 29
Баллов: 14
Регистрация: 17.02.2012
Размещено 17.02.2012 20:39:58
Это был файл после первого скрипта.

Сделал второй скрипт.

Файл отправил на почту [email protected]

Сейчас делается лог Malwarebytes
Один вредоносный файл уже нашел.
 
Зануда
Зануда
Пользователь
Сообщений: 29
Баллов: 14
Регистрация: 17.02.2012
Размещено 17.02.2012 21:22:42
Сделал Malwarebytes

Дофига вирусни :(
Изменено: Зануда - 17.02.2012 21:23:25
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 17.02.2012 21:28:45
удалите все найденное в МБАМ,
перезагрузка,
новое сканирование с мбам
[ Как создать образ автозапуска? ]
 
Зануда
Зануда
Пользователь
Сообщений: 29
Баллов: 14
Регистрация: 17.02.2012
Размещено 17.02.2012 22:31:53
Все чисто!
СПАСИБО!!!
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 17.02.2012 23:33:58
Выполнить
http://forum.esetnod32.ru/forum9/topic3998/

Тема закрыта.
 
1
Читают тему