Carberp.AD - Форум технической поддержки ESET NOD32

Carberp.AD , Оперативная память = explorer.exe(2120) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

Сообщений: 1

Регистрация: 23.04.2012

Размещено 23.04.2012 14:40:04

Доброго времени суток!
очередной Carberp.AD

лог uVs

Прикрепленные файлы

MARAT_2012-04-23_16-25-50.7z (152.63 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 23.04.2012 16:59:50

+
Выполните скрипт №2 !

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 setdns Беспроводное сетевое соединение\4\{C5E3B347-CEF2-4DAA-AF65-6235AE74C7B3}\ setdns Подключение по локальной сети 10\4\{386DD5CB-3D0C-49A6-99D0-26660455C443}\ setdns Подключение по локальной сети 6\4\{5EEE586A-501D-460F-87F9-427BFABAABEF}\ setdns Подключение по локальной сети 7\4\{59F71C86-FA3D-4F1B-9D15-9662C0243565}\ setdns Подключение по локальной сети\4\{2458A575-2B56-46F9-B5D4-09F48EA2A2F8}\ zoo %SystemDrive%\DOCUMENTS AND SETTINGS\MARAT-PC\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\GC37B9ARKFG.EXE bl 8FA81115455923DF63DC40AE22FABDBB 302120 addsgn A7679B1BB9F24C720B87F8E6A38DA605258AFC31CC0E1F7885C302F9C8B2714C23D086A73A559D49ECC57C9F4616493D3867E87255DA7769B176A42FC766AB5E 8 Carb.424 addsgn 732637E5556A19F9E75742BDEDD50645678A3BB37D26F08A887BF1E150D6B609D7D42CA533F4414D6980B9FC265B073D7805CF305554C02C2D78213BC70622F2 8 Carb.423.B bl 2DA301EFD960FA33F187918575B52BCD 132608 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\MARAT-PC\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\HPROPVF.EXE chklst delvir deltmp delnfr exec cmd /c "ipconfig /flushdns" czoo restart

Код

 
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

setdns Беспроводное сетевое соединение\4\{C5E3B347-CEF2-4DAA-AF65-6235AE74C7B3}\
setdns Подключение по локальной сети 10\4\{386DD5CB-3D0C-49A6-99D0-26660455C443}\
setdns Подключение по локальной сети 6\4\{5EEE586A-501D-460F-87F9-427BFABAABEF}\
setdns Подключение по локальной сети 7\4\{59F71C86-FA3D-4F1B-9D15-9662C0243565}\
setdns Подключение по локальной сети\4\{2458A575-2B56-46F9-B5D4-09F48EA2A2F8}\

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\MARAT-PC\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\GC37B9ARKFG.EXE
bl 8FA81115455923DF63DC40AE22FABDBB 302120
addsgn A7679B1BB9F24C720B87F8E6A38DA605258AFC31CC0E1F7885C302F9C8B2714C23D086A73A559D49ECC57C9F4616493D3867E87255DA7769B176A42FC766AB5E 8 Carb.424

addsgn 732637E5556A19F9E75742BDEDD50645678A3BB37D26F08A887BF1E150D6B609D7D42CA533F4414D6980B9FC265B073D7805CF305554C02C2D78213BC70622F2 8 Carb.423.B

bl 2DA301EFD960FA33F187918575B52BCD 132608
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\MARAT-PC\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\HPROPVF.EXE
chklst
delvir
deltmp
delnfr
exec cmd /c "ipconfig /flushdns"
czoo
restart

Далее, Как и написано выше - (даже если проблема решена) выполнить лог программой Malwarebytes
Отчет предоставить для анализа.

Архив из папки uVS (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: 2010-10-04_13-30-55.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

Изменено: RP55 RP55 - 23.04.2012 17:06:00