santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Снова Carberp.AF подскажите

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.09.2012 12:33:39

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 BETA3 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\2603A7.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\CLIEIG.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\YTXIGE\GIYB.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TASKHOST.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\AFOPEM\YSBY.EXE addsgn 1B75599A558332470BD4476D46C812ECBFA4FCF660FC3678852A2A9C50D698AC0217C3BEB7719D49C27CAC9F46FFC1DC7DDF011667DAB0C5E257A42F2E340573 8 Carberp.0907 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZCXYAKKXZJI.EXE bl 98AA3E305D33CB9FEB48366B23182FE4 448512 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZCXYAKKXZJI.EXE chklst delvir delref HTTP://BROWSERHELP.RU deltmp delnfr delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE regt 14 czoo restart

Код

;uVS v3.76 BETA3 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\2603A7.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\CLIEIG.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\YTXIGE\GIYB.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TASKHOST.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\AFOPEM\YSBY.EXE
addsgn 1B75599A558332470BD4476D46C812ECBFA4FCF660FC3678852A2A9C50D698AC0217C3BEB7719D49C27CAC9F46FFC1DC7DDF011667DAB0C5E257A42F2E340573 8 Carberp.0907
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZCXYAKKXZJI.EXE
bl 98AA3E305D33CB9FEB48366B23182FE4 448512
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZCXYAKKXZJI.EXE
chklst
delvir
delref HTTP://BROWSERHELP.RU
deltmp
delnfr
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
regt 14
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

Universal Virus Sniffer (uVS)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.09.2012 11:23:22

тестируем 3.76b3
http://www.anti-malware.ru/forum/index.php?showtopic=19126&view=findpost&p=160401

[ Как создать образ автозапуска? ]

Перейти

Оперативная память = explorer.exe(2020) модифицированный Win32/Spy.Shiz.NCE троянская программа очистка невозможна и вирус neshta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.09.2012 10:55:08

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Помогите одолеть Win32/qhost

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.09.2012 08:58:44

Цитата
ilyanick пишет: Что делать дальше? Как быть? Уж очень бесит этот qhost

создайте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Пятое поколение продуктов ESET, Обсуждение новых функций, настройки, и исправлений 5-й версии продукта.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.09.2012 08:55:14

в отличие от домашней версии, корпоративная версия (BE) при наличии файла лицензии (lic) может создавать зеркало обновления для других клиентов.

Изменено: santy - 07.09.2012 08:55:45

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Заблокирован доступ к рабочему столу Windows

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.09.2012 05:52:01

Цитата
he action is not allowed, because the file is marked as private and the key you provided is not correct

перезалейте еще раз лог мбам.

если лог чистый,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Заблокирован доступ к рабочему столу Windows

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.09.2012 21:11:02

удалите все найденное в мбам,
перегрузите систему,
и еще раз выполните быстрое сканирование в малваребайт

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Заблокирован доступ к рабочему столу Windows

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.09.2012 20:32:00

далее,
из нормального режима
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

Изменено: santy - 05.09.2012 20:32:29

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Заблокирован доступ к рабочему столу Windows

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.09.2012 20:24:06

да, скрипт нормально выполнен

Цитата
Загружен скрипт: G:\script.txt ======= Начало исполнения скрипта ======= -------------------------------------------------------- zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ИЛЬЯ\LOCAL SETTINGS\TEMP\6XFPTEI.EXE -------------------------------------------------------- Копирование файла в Zoo: \\?\C:\DOCUMENTS AND SETTINGS\ИЛЬЯ\LOCAL SETTINGS\TEMP\6XFPTEI.EXE Файл скопирован в ZOO: X:\UVS\ZOO\6XFPTEI.EXE._61E733A3935AA9287D7FE1F790D9F0E4EA01F856 -------------------------------------------------------- addsgn 4AE029DB553A288D3ED4AEB164AC9B20258AFCF6BA3A9670D58686D33DA6102F5725C3C9BFAB70C38C8D9E4F43326A951D05F18921A16CCC9625E59283F023EB 8 winlock.0905 -------------------------------------------------------- Добавлена сигнатура: winlock.0905 -------------------------------------------------------- delall %SystemDrive%\DOCUMENTS AND SETTINGS\ИЛЬЯ\LOCAL SETTINGS\TEMP\6XFPTEI.EXE -------------------------------------------------------- Удаление ссылок и самого файла: C:\DOCUMENTS AND SETTINGS\ИЛЬЯ\LOCAL SETTINGS\TEMP\6XFPTEI.EXE Изменено/удалено объектов автозапуска 2 из 2 \| Удалено файлов: 1 из 1

Цитата

Загружен скрипт: G:\script.txt
======= Начало исполнения скрипта =======
--------------------------------------------------------
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ИЛЬЯ\LOCAL SETTINGS\TEMP\6XFPTEI.EXE
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\DOCUMENTS AND SETTINGS\ИЛЬЯ\LOCAL SETTINGS\TEMP\6XFPTEI.EXE
Файл скопирован в ZOO: X:\UVS\ZOO\6XFPTEI.EXE._61E733A3935AA9287D7FE1F790D9F0E4EA01F856
--------------------------------------------------------
addsgn 4AE029DB553A288D3ED4AEB164AC9B20258AFCF6BA3A9670D58686D33DA6102F5725C3C9BFAB70C38C8D9E4F43326A951D05F18921A16CCC9625E59283F023EB 8 winlock.0905
--------------------------------------------------------
Добавлена сигнатура: winlock.0905
--------------------------------------------------------
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ИЛЬЯ\LOCAL SETTINGS\TEMP\6XFPTEI.EXE
--------------------------------------------------------
Удаление ссылок и самого файла: C:\DOCUMENTS AND SETTINGS\ИЛЬЯ\LOCAL SETTINGS\TEMP\6XFPTEI.EXE
Изменено/удалено объектов автозапуска 2 из 2 | Удалено файлов: 1 из 1

перегрузитесь в нормальный режим,

пишем результат.

[ Как создать образ автозапуска? ]

Перейти

Обнаружена угроза в памяти (SOS), При загрузке винды выскакивает Оперативная память explorer.exe(1692)модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.09.2012 20:21:21

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 BETA2 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\START MENU\PROGRAMS\STARTUP\GSZSZWGMUMA.EXE addsgn 19FC11F86F296759439BE1FAF4210E94658A5DF918BA1FB965C166AFC196711E49172B0648559DC2FB68AA8E46161312B9DBE872BDFDA12C2D1DA4C7431B2273 15 Carberp.0905 bl 01AC626E5C23CDA080997658ED658D69 179712 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\START MENU\PROGRAMS\STARTUP\GSZSZWGMUMA.EXE chklst delvir delref HTTP://WWW.SMAXI.NET deltmp delnfr delref HTTP://WWW.ASK.COM/?L=DIS&O=14597 exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} exec "C:\PROGRAM FILES\SKYMONK\UNINSTALL.EXE" CZOO restart

Код

;uVS v3.76 BETA2 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\START MENU\PROGRAMS\STARTUP\GSZSZWGMUMA.EXE
addsgn 19FC11F86F296759439BE1FAF4210E94658A5DF918BA1FB965C166AFC196711E49172B0648559DC2FB68AA8E46161312B9DBE872BDFDA12C2D1DA4C7431B2273 15 Carberp.0905
bl 01AC626E5C23CDA080997658ED658D69 179712
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\START MENU\PROGRAMS\STARTUP\GSZSZWGMUMA.EXE
chklst
delvir
delref HTTP://WWW.SMAXI.NET
deltmp
delnfr
delref HTTP://WWW.ASK.COM/?L=DIS&O=14597
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec "C:\PROGRAM FILES\SKYMONK\UNINSTALL.EXE"
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти