Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Помогите плиз. , чото савсем страшно

1
RSS
 
Clipper
Clipper
Пользователь
Сообщений: 18
Баллов: 9
Регистрация: 26.11.2011
Размещено 22.10.2012 20:39:49
Сегодня обнаружил две угрозы. Успел увидеть только спайВольтар и еще чтото. Я струдом создал эту тему. Призаходе на сайт есет выдает :соединение прервано удаленным пользователем. Плиз не удаляйте тему потому что она без скринов и тп. С помощью uvs_v376 я сохранил образ автозагрузки. Но пока немогу прикрепить тк большинство сайтов закрывает"удаленный пользователь" Я пробую... подождите плиз.
Оперативная память = explorer.exe(1836) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна
Оперативная память = C:\Documents and Settings\Admin\Application Data\Microsoft\taskhost.exe - модифицированный Win32/SpyVoltar.A троянская программа - очистка невозможна
Я немогу прикрепить сюда файл образа авто запуска, или выложить его гдето-сразу пишет соединение прервано удаленным пользователем.
Изменено: Clipper - 22.10.2012 20:49:38
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 22.10.2012 21:07:36
сделайте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

пробуйте выложить в безопасном режиме
Изменено: santy - 22.10.2012 21:08:29
[ Как создать образ автозапуска? ]
 
Clipper
Clipper
Пользователь
Сообщений: 18
Баллов: 9
Регистрация: 26.11.2011
Размещено 22.10.2012 21:23:32
В безопасном режиме не удается соединиться с интернетом.
 
ТРК55
ТРК55
Пользователь
Сообщений: 83
Баллов: 66
Регистрация: 21.06.2012
Размещено 22.10.2012 21:33:29
Может Live CD для выхода в сеть?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 22.10.2012 21:51:34
Цитата
Clipper пишет:
В безопасном режиме не удается соединиться с интернетом.
выберите safe mode с поддержкой сетевых драйверов
-------
если не получится, вышлите образ в почту [email protected]
Изменено: santy - 22.10.2012 21:52:36
[ Как создать образ автозапуска? ]
 
Clipper
Clipper
Пользователь
Сообщений: 18
Баллов: 9
Регистрация: 26.11.2011
Размещено 23.10.2012 18:04:20
Вот. УРРРРАААА получилось. уф ппц. полные колготки радости)))))
Изменено: Clipper - 23.10.2012 18:05:03
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 23.10.2012 18:07:01
Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
Код
;;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl C9C3DCA5C7AFDC14217F8635BB80BAAD 29256
addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up
bl 102350E7DCD3B541E4D61410AA4BD5F7 29256
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\FRIZEBRUIYA.EXE
bl 3B29BD98B01FBB46D2918290FD425FA5 177664
addsgn A7679BF0AA02BCC249D4C689328A1261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C6330C69F75C4C32EF4CAA84C1DDA3BE4AC965B2FC706AB7E 8 Carberp98
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\FRIZEBRUIYA.EXE
chklst
delvir
deltmp
delnfr
delref HTTP://BROWSERHELP2.RU
regt 14
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.
Правильно заданный вопрос - это уже половина ответа
 
Clipper
Clipper
Пользователь
Сообщений: 18
Баллов: 9
Регистрация: 26.11.2011
Размещено 23.10.2012 20:29:41
Вот. Надеюсь, то что я прикрепил называется ЛОГом. Эта программа сказала что у меня два трояна, я нажал удалить-правильно ли я сделал?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 23.10.2012 20:39:34
это удалите в мбам
Цитата
Обнаруженные файлы:  1
C:\Documents and Settings\Admin\Application Data\Microsoft\198.exe (Trojan.Agent) -> Действие не было предпринято.
далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
 
1
Читают тему