Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Оперативная память » explorer.exe(1880) + Ошибка создания временного файла , Оперативная память » explorer.exe(1880) + Ошибка создания временного файла

1
RSS
 
smiropolsky
smiropolsky
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 21.02.2012
Размещено 21.02.2012 10:18:31
Доброго Вам времени суток,

Чищу мамин лаптоп от зверья, которое в нём наплодилось за время моего отсутствия. Нашёл как минимум два симптома неопределённых вирусов в системе.

> Ошибка создания временного файла при обновлении баз данных
> Оперативная память » explorer.exe(1886) заражён Windows.TroyanDownloader.Carberp.AD, очистка невозможна.

Попробовал по вашим рекомендациям сохранить лог автозапуска через uVS. Программа запускается, нажимаю Сохранить Полный Образ, она отрабатывает где-то на ~60% и падает в BSOD с сообщением типа "Проблема с библиотекой uatir.sys. Драйвер был выгружен без корректного завершения процедур". Ошибка повторяется и при последующих запусках.

Думал удалить uatir.sys, но поиск его не нашёл.

Как сохранить лог в такой ситуации?

С уважением, Сергей
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 21.02.2012 10:45:44
сделайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
если не получается в нормальном режиме, сделайте в безопасном режиме. можно сделать образ без проверки цифровых подписей.
Изменено: santy - 21.02.2012 10:46:28
[ Как создать образ автозапуска? ]
 
smiropolsky
smiropolsky
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 21.02.2012
Размещено 21.02.2012 11:55:32
Здравствуйте,

Сделал лог в безопасном режиме, без проверки цифровых подписей.

http://rghost.net/36629977
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 21.02.2012 11:59:55
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0

zoo %SystemDrive%\USERS\MAMA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IGFXTRAY.EXE
addsgn 925277CA146AC1CC0B14504E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 tr.Carberp
zoo %SystemRoot%\UATIR.SYS
addsgn A76D8B9A556ACC01FA8C2F4B82F80964506DF9F288FA1E90C243C5BC51C360593212C25209C70C589C27859E4715E15864DEE96340CBB52D28B8AD8B9B372372 8 Win32/Rootkit.Kryptik.EN [NOD32]
deltmp
delnfr
bl 27218683DF121B896CDAC9B217C224CC 211456
delall %SystemDrive%\USERS\MAMA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IGFXTRAY.EXE
delref HTTP://SEARCH.BABYLON.COM/?AF=100789&BABSRC=HP_SS&MNTRID=C21E70A70000000000000013E8241AB5
delref HTTP://SEARCH.QIP.RU
sreg
delref %SystemRoot%\UATIR.SYS
areg

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[ Как создать образ автозапуска? ]
 
smiropolsky
smiropolsky
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 21.02.2012
Размещено 21.02.2012 12:52:47
Такс,

Скрипт в нормальном режиме уронил систему в BSOD с той же самой ошибкой про uatir.sys. Со второй попытки в безопасном режиме всё сработало. НОД обновился, сообщение про трояна в explorer.exe исчезло. Система стала работать по ощущениям на порядок шустрее.

Зоопарк запаковал и отправил по адресу. Вы бы, кстати, в инструкции для чайников добавили, что перез запаковкой надо отключать защиту - у меня НОД убил заражённый файл когда я попытался его запаковать.

Малварь поставил, нашлось ещё 6 зверей, лог прицепил.

http://rghost.net/36630574

Их вручную удалить можно?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 21.02.2012 12:54:57
то что НОД убивает файлы из карантина, это неплохо... значит детектирует их и значит они не нужны в вирлабе.
----------
по логу мбам,
можно все удалить,
и повторить быстрое сканирование.
если все будет чисто,
тогда выполните наши рекомендации по безопасной работе.
http://forum.esetnod32.ru/forum9/topic3998/
Изменено: santy - 21.02.2012 12:56:48
[ Как создать образ автозапуска? ]
 
smiropolsky
smiropolsky
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 21.02.2012
Размещено 21.02.2012 13:06:49
Удалил, просканировал, чисто. Покорнейше Вас благодарю за помощь:)
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 21.02.2012 13:07:16
хорошо,
закрываем тему.
[ Как создать образ автозапуска? ]
 
1
Читают тему