Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] TrojanDownloader.Carberp.AW помогите обезвредить , NOD32 обнаружил TrojanDownloader.Carberp.AW и не может его обезвредить

RSS
 
Сергей Ананьев
Сергей Ананьев
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 25.07.2013
Размещено 25.07.2013 21:21:09
NOD32 обнаружил TrojanDownloader.Carberp.AW и AM, не может его обезвредить, помогите пожалуйста


Оперативная память = explorer.exe(1836) - модифицированный Win32/TrojanDownloader.Carberp.AW троянская программа - очистка невозможна
Оперативная память = explorer.exe(1836) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = explorer.exe(1836) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = explorer.exe(1836) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = explorer.exe(1836) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = explorer.exe(1836) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = explorer.exe(1836) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = explorer.exe(1836) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = explorer.exe(1836) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = svchost.exe(192 8 ) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = svchost.exe(192  8 )  - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = svchost.exe(192  8 )  - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = svchost.exe(192  8 )  - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = svchost.exe(192  8 )  - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = svchost.exe(192  8 )  - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = svchost.exe(192  8 )  - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = svchost.exe(232) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Изменено: Сергей Ананьев - 25.07.2013 21:54:05

Ответы

Пред. 1 2 3 4 След.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.07.2013 19:04:53
хм, добавьте новый образ, полученный из под Winpe&uVS
Изменено: santy - 28.07.2013 19:05:14
[ Как создать образ автозапуска? ]
 
Сергей Ананьев
Сергей Ананьев
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 25.07.2013
Размещено 28.07.2013 19:22:12
добавляю новый образ, делал как в последнем случае указывая  каталог системы с жесткого диска
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.07.2013 19:36:01
зараженный загрузчик на месте.
https://www.virustotal.com/ru/file/da8eba3432c0b31dcb393baa2634ebbc8de6aa6c6c4015e0­71d118b4beea34de/analysis/

предыдущий хэш загрузчика
C696CFE5D3293A1BD6AC9F1F92FAF8755CC01D18

новый хэш
C696CFE5D3293A1BD6AC9F1F92FAF8755CC01D18

ничего не изменилось.

возможно неправильно выполнен скрипт из файла,

нужен будет лог выполнения скрипта.

выполните еще раз скрипт из файла. (тот что по ссылке)
http://rghost.ru/private/47728899/7abdd9d8f17b5378270ab20e2e70b0f8

но прежде чем перегрузить систему, сохраните лог выполнения скрипта.
он будет в папке, откуда запускается uVS

и добавьте этот лог: дата_времяlog.txt на форум.
Изменено: santy - 28.07.2013 19:37:10
[ Как создать образ автозапуска? ]
 
Сергей Ананьев
Сергей Ананьев
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 25.07.2013
Размещено 28.07.2013 19:44:42
лог сохранился сам, вроде тот что нужно
 
Сергей Ананьев
Сергей Ананьев
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 25.07.2013
Размещено 28.07.2013 19:47:15
возможно скрит нужно запускать через Winpe&uVS?
 
Сергей Ананьев
Сергей Ананьев
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 25.07.2013
Размещено 28.07.2013 19:49:00
перечитал сообщения, точно, извиняюсь, сейчас попробую
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.07.2013 20:02:00
Цитата
Сергей Ананьев пишет:
возможно скрит нужно запускать через Winpe&uVS?
конечно через Winpe&uVS.

ведь в нормальном режиме троян активен, и показывает совсем другой код загрузчика, значит и при перезаписи, он либо не позволит выполнить перезапись загрузчика, либо перенаправит запись на другой блок.
[ Как создать образ автозапуска? ]
 
Сергей Ананьев
Сергей Ананьев
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 25.07.2013
Размещено 28.07.2013 20:07:45
Все работает, окна не всплывают при загрузке, нод о троянах ничего не говорит, думаю помогло. Спасибо!!! Извиняюсь за тупку, так бы проблема решилась ещё раньше!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.07.2013 20:13:29
хорошо, :). добили мы все таки бутовый Carberp. похоже, и tdsskiller теперь не спасает, одна надежда - на Winpe&uVS.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.07.2013 20:15:44
и кстати, добавьте лог выполнения скрипта, который вы делали из активной системы.
дата_времяlog.txt из папки uVS
глянем, на реакцию активного Carberp.
[ Как создать образ автозапуска? ]
 
Пред. 1 2 3 4 След.
Читают тему