santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Оперативная память = explorer.exe(1424), Оперативная память = explorer.exe(1424) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.05.2012 08:01:14

лог мбам чистый,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.05.2012 05:49:35

деструктивные вредоносные программы... анализ и тенденции
http://www.compress.ru/article.aspx?id=19372&iid=898

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.05.2012 05:31:39

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.75 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 addsgn A7679B1BB9BE4F720B132B1D9A37ED05258AFC9600D7F7FBC7C30239E8288EB31317C357F9D021B7D47F879F46168E7FBD21178D25B3F22CEAF260D138F92273 8 smallHTTP zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\TEMP\QUDAQRF.EXE zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\XCM7NPYLMVW.EXE addsgn A7679B1BB9BE4F720B132B1D9A37ED05258AFC9600D7F74BC3C30239E8288EB31317C357F9D021B7D47F879F46168E7FBD21178D15F9F62CEAF260D138F92273 8 Carberp.0508 bl A66EFA6496CBFDE5FA6D0646F2571F85 441824 delall %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\XCM7NPYLMVW.EXE delall %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\TEMP\QUDAQRF.EXE delall %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\\WINDEBUG32.EXE delall %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\CBC.EXE delall %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\CBC.EXE delall %SystemDrive%\G4FWEQ23.BI\40842F384BD.EXE chklst delvir deltmp delnfr EXEC cmd /c"netsh winsock reset catalog" CZOO restart

Код

;uVS v3.75 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
addsgn A7679B1BB9BE4F720B132B1D9A37ED05258AFC9600D7F7FBC7C30239E8288EB31317C357F9D021B7D47F879F46168E7FBD21178D25B3F22CEAF260D138F92273 8 smallHTTP
zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\TEMP\QUDAQRF.EXE
zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\XCM7NPYLMVW.EXE
addsgn A7679B1BB9BE4F720B132B1D9A37ED05258AFC9600D7F74BC3C30239E8288EB31317C357F9D021B7D47F879F46168E7FBD21178D15F9F62CEAF260D138F92273 8 Carberp.0508
bl A66EFA6496CBFDE5FA6D0646F2571F85 441824
delall %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\XCM7NPYLMVW.EXE
delall %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\TEMP\QUDAQRF.EXE
delall %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\\WINDEBUG32.EXE
delall %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\CBC.EXE
delall %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\CBC.EXE
delall %SystemDrive%\G4FWEQ23.BI\40842F384BD.EXE
chklst
delvir
deltmp
delnfr
EXEC cmd /c"netsh winsock reset catalog"
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: 2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

Изменено: santy - 08.05.2012 05:32:23

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Spy.Shiz.NCE

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.05.2012 20:33:08

удалите найденное в мбам,
далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Spy.Shiz.NCE

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.05.2012 19:56:07

Код
;uVS v3.75 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemRoot%\APPPATCH\QPLRUAA.EXE addsgn A7679B19B93ECF7F3C14EEB144370729A5CAFC55BC395F78D3A9C543458EF10C2326C6B3FF159D194180EEC92C2FA1AF67DFE8735006716C2D1F2C10DD06CABA 8 spy.shiz delall %SystemRoot%\APPPATCH\QPLRUAA.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL deltmp delnfr regt 12 CZOO restart

Код

;uVS v3.75 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemRoot%\APPPATCH\QPLRUAA.EXE
addsgn A7679B19B93ECF7F3C14EEB144370729A5CAFC55BC395F78D3A9C543458EF10C2326C6B3FF159D194180EEC92C2FA1AF67DFE8735006716C2D1F2C10DD06CABA 8 spy.shiz

delall %SystemRoot%\APPPATCH\QPLRUAA.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
deltmp
delnfr
regt 12
CZOO
restart

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память = explorer.exe(884)... - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна, Оперативная память = explorer.exe(884) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.05.2012 21:07:48

1. скачайте обновленную версию uVS 3.74
http://rghost.ru/users/santy/releases/utilitiesLiveCd

2. сделайте образ автозапуска по инструкции
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирус Win32/Ainslot.AA червь в оперативной памяти, Вирус Win32/Ainslot.AA червь в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.05.2012 20:37:51

Код
;uVS v3.75 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn 4ABC01DB553A288D3ED4AEB164AC9B20258AFCF6BA3A9670D58686D33DA6102F5725C3BC8210952553CF93D2F64312B34673B4759F63550486AC233104835C97 8 Trojan.Win32.VBKrypt.iuyp [Kaspersky] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KARINA\APPLICATION DATA\2.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\KARINA\APPLICATION DATA\2.EXE adddir %SystemDrive%\DOCUMENTS AND SETTINGS\KARINA\APPLICATION DATA chklst delvir delref HTTP://WEBALTA.RU delref HTTP://WEBALTA.RU/POISK delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL exec C:\PROGRAM FILES\TICNO\MULTIBAR\UNINSTALL.EXE CZOO restart

Код

;uVS v3.75 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn 4ABC01DB553A288D3ED4AEB164AC9B20258AFCF6BA3A9670D58686D33DA6102F5725C3BC8210952553CF93D2F64312B34673B4759F63550486AC233104835C97 8 Trojan.Win32.VBKrypt.iuyp [Kaspersky]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KARINA\APPLICATION DATA\2.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\KARINA\APPLICATION DATA\2.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\KARINA\APPLICATION DATA
chklst
delvir
delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
exec C:\PROGRAM FILES\TICNO\MULTIBAR\UNINSTALL.EXE
CZOO
restart

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Нужна помощь, Оперативная память = explorer.exe(1836) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.05.2012 07:56:26

ок,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.05.2012 07:34:52

Код
;uVS v3.75 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn A7679B19B91226A7E30EB8B1644BD60176B1B95EFCF9963D7995ADBC7DB0E924232DB62B54D575733180841C821A1E903FB5B8223DDA40D2439F8335C706A1B7 8 Carberp.0504 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\Q0JFO4D3SLK.EXE bl 82F45EC0388C2CCCAD728EA24C853ED4 138240 delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\Q0JFO4D3SLK.EXE delall %SystemDrive%\DOCUME~1\USER\LOCALS~1\TEMP\MC27.TMP chklst delvir deltmp delnfr CZOO restart

Код

;uVS v3.75 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn A7679B19B91226A7E30EB8B1644BD60176B1B95EFCF9963D7995ADBC7DB0E924232DB62B54D575733180841C821A1E903FB5B8223DDA40D2439F8335C706A1B7 8 Carberp.0504
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\Q0JFO4D3SLK.EXE
bl 82F45EC0388C2CCCAD728EA24C853ED4 138240
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\Q0JFO4D3SLK.EXE
delall %SystemDrive%\DOCUME~1\USER\LOCALS~1\TEMP\MC27.TMP
chklst
delvir
deltmp
delnfr
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: 2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.05.2012 07:21:10

образ автозапуска сделайте
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти