Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Win32/TrojanDownloader.Carberp.AH

1
RSS
 
fvadev
fvadev
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 05.04.2012
Размещено 05.04.2012 14:08:55
Помогите удалить троян. Smart security ругается:

Оперативная память = explorer.exe(1232) - модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна

Лог uVS прикрепил.
 
santy
santy
Администратор
Сообщений: 17970
Баллов: 28751
Регистрация: 16.03.2010
Размещено 05.04.2012 14:20:05
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0
zoo %SystemDrive%\USERS\СЛАВА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VZOXZYYB2LK.EXE
addsgn A7679B19B92624729C5DEBD9648704AA4D8A4ED94690239029DDC5BCD312612659FF61493E551E8D2FD3EE8B2CABA15B66DFE8F191D2E6460B1D47459E6E228D 8 tr.carberp
bl 0F96446D857140A824FDC2DC81D8E7F6 181248
delall %SystemDrive%\USERS\СЛАВА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VZOXZYYB2LK.EXE
delall %SystemDrive%\USERS\СЛАВА\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
архив, созданный после скрипта (например: 2011-12-31_23-59-59.rar/7z) из каталога uVS отправить в почту [email protected], [email protected]  
(если архив не был создан, добавить самостоятельно папку ZOO (если она не пуста) в архив с паролем virus )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[ Как создать образ автозапуска? ]
 
fvadev
fvadev
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 05.04.2012
Размещено 05.04.2012 15:47:38
архив отправил на почту.

Проблема которая осталась:

---
при обнолении базы Smart Security выдает ошибку:
Ошибка распаковки файла.
---

Также не открывал ни одну страницу Chrome, сейчас все нормально.

Проверка системы в малваребайт:
---
Обнаруженные файлы:  1
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Помещено в карантин и успешно удалено.
---
Весь лог малваребайт прикрепил.

Сканирование Системы Smart Security вирус больше не находит, но обновлять базу все равно не хочет.
 
santy
santy
Администратор
Сообщений: 17970
Баллов: 28751
Регистрация: 16.03.2010
Размещено 05.04.2012 16:28:10
в настройках обновления (по F5) очистите кэш обновлений и повторите обновление баз
-----------
далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 05.04.2012 21:59:55
santy

Возможно стоит удалить:
C:\WINDOWS\SYSTEM32\APSHOOK.DLL
 
santy
santy
Администратор
Сообщений: 17970
Баллов: 28751
Регистрация: 16.03.2010
Размещено 06.04.2012 05:41:10
а какие аргументы в пользу удаления? только то, что прописан в appinit_dlls?
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 06.04.2012 17:45:24
Цитата
santy пишет:
а какие аргументы в пользу удаления? только то, что прописан в appinit_dlls?
Аргументы: нагрузка на систему.
И зачем он вообще нужен - ?
 
santy
santy
Администратор
Сообщений: 17970
Баллов: 28751
Регистрация: 16.03.2010
Размещено 06.04.2012 19:00:46
а если это полезный файл?
Systemexplorer говорит что это чистый (безопасный) файл.
http://systemexplorer.net/filereviews.php?fid=545225

и вот еще
http://www.filecheck.ru/process/apshook.dll.html
Изменено: santy - 06.04.2012 19:09:28
[ Как создать образ автозапуска? ]
 
1
Читают тему