Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Оперативная память = explorer.exe(736) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

1
RSS
 
tenzz
tenzz
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 04.07.2012
Размещено 04.07.2012 12:09:00
помогите вычистить
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.07.2012 13:02:06
Carberp точно в цель! с установленным банк-клиентом
-----------
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

fixvbr C: 5
delall %Sys32%\BETWINSERVICEXP.EXE
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delall %Sys32%\TASKNOTIFY32.EXE
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
----
+
Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.
Изменено: santy - 04.07.2012 13:12:06
[ Как создать образ автозапуска? ]
 
tenzz
tenzz
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 04.07.2012
Размещено 04.07.2012 13:29:22
Оперативная память = explorer.exe(2024) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

изменилось значение в скобках
нод постоянно блокирует вирус с сайта wn-host.ru\



tdsskiller обнаружил rootkit.boot.cidox.b -вылечил его
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.07.2012 13:32:39
в мбам все удалите,
перегрузите систему
и сделайте новый образ автозапуска
и новый лог быстрого сканирования в мбам
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.07.2012 13:40:07
tenzz, по завершении лечения обязательно выполните наши рекомендации,
(ссылку позже запишу),
поскольку у вас установлены уязвимые приложения flash player, java, за обновлением которых надо обязательно следить,
раз на данном компьютере установлены банковские клиенты.
(через них Carberp будет пробивать постоянно, если не обновляются.)
[ Как создать образ автозапуска? ]
 
tenzz
tenzz
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 04.07.2012
Размещено 04.07.2012 13:56:36
Спасибо за помощь, все вроде восстановилось. высылаю лог и жду рекомендаций
мбам ничего не обнаружил
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.07.2012 14:20:32
да, загрузчик нормально зачистился tdsskiller-ом (uVS этот вариант смог бы его очистить только с загрузочного диска)
-------
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
 
1
Читают тему