santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Netprotocol.exe, вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.05.2012 14:44:12

еще спасибо скажете, что пролечиваем вам систему.

[ Как создать образ автозапуска? ]

Оперативная память » explorer.exe(1620) - модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна, Помогите решить проблему

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.05.2012 08:56:58

где ошибка печати, там и переустановить

[ Как создать образ автозапуска? ]

Перейти

Win32/TrojanDownloader.Carberp.AD

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.05.2012 07:27:11

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.75 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\7RMFW1SBARO.EXE addsgn A7679B1BB9D64D720B87F8E6A34DBAFBDA75FCF689FAD8FD693D3A4350D6714CE492BBA9C1AAF9492B80431AAEE8B60563DFE872929F482C2D77A4E842AADC8C 8 tr.Carberp_0502 bl F5FF15570A6B41A66E910A66A7A3D677 394776 delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\7RMFW1SBARO.EXE chklst delvir deltmp delnfr CZOO restart

Код

;uVS v3.75 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\7RMFW1SBARO.EXE
addsgn A7679B1BB9D64D720B87F8E6A34DBAFBDA75FCF689FAD8FD693D3A4350D6714CE492BBA9C1AAF9492B80431AAEE8B60563DFE872929F482C2D77A4E842AADC8C 8 tr.Carberp_0502
bl F5FF15570A6B41A66E910A66A7A3D677 394776
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\7RMFW1SBARO.EXE
chklst
delvir
deltmp
delnfr
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после скрипта (например: 2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.05.2012 18:04:09

надо карантинить этот файл так же, чтобы посмотреть что там в hosts

Цитата
C:\DOCUME~1\Admin\LOCALS~1\Temp\zcpswjz.exe noproxy noicon hide nolog hosts=C:\DOCUME~1\Admin\LOCALS~1\Temp\bkvbjxb noddns noftp nopop3 nosmtp

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.05.2012 17:58:02

похоже, прокси сервер на localhost поднимает

http://forum.esetnod32.ru/forum6/topic5431/

Цитата
Полное имя 127.0.0.1\Подключение по локальной сети 2\4\{68F2577C-397C-46F3-9E71-6546A99B00AA} Имя файла {68F2577C-397C-46F3-9E71-6546A99B00AA} Тек. статус DNS Сохраненная информация на момент создания образа Статус DNS

и скорее, здесь помогло не сброс каталога winsock, а очистка настроек сетевых подключений + конечно удаление proxi.
---------
хотя, судя по скриптам, похоже необходима и очистка winsock catalog

Изменено: santy - 01.05.2012 18:24:54

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Заблокирован доступ к рабочему столу Windows

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.05.2012 17:42:04

сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
теперь уже с рабочего стола.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирус в оперативной памяти, Оперативная память = explorer.exe(172) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.05.2012 10:14:25

выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
тему закрываем.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.05.2012 10:13:22

да, теперь правильно

Цитата
Журнал проверки Версия базы данных сигнатур вирусов: 7099 (20120430) Дaтa: 01.05.2012 Время: 11:44:05 Просканированные диски, папки и файлы: Оперативная память Количество просканированных объектов: 379 Количество обнаруженных угроз: 0 Время выполнения: 11:44:33 Общее время проверки: 28 сек. (00:00:28)

Цитата

Журнал проверки
Версия базы данных сигнатур вирусов: 7099 (20120430)
Дaтa: 01.05.2012 Время: 11:44:05
Просканированные диски, папки и файлы: Оперативная память
Количество просканированных объектов: 379
Количество обнаруженных угроз: 0
Время выполнения: 11:44:33 Общее время проверки: 28 сек. (00:00:28)

все логи сканирования сохраняются, их можно просмотреть и экспортировать в текст из журнала.
------------

Изменено: santy - 01.05.2012 10:17:38

[ Как создать образ автозапуска? ]

Перейти

Помогите удалить Win32/Spy.Shiz.NCE троянская программа, не могу избавиться помогите

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.05.2012 09:34:40

перегрузите систему,
и повторите быстрое сканирование в мбам
---------
если будет чистый лог,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

Изменено: santy - 01.05.2012 09:35:22

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.05.2012 09:33:06

нет, вы делаете лог журнала обнаружения угроз,
нужен лог сканирования оперативной памяти.
-------------

[ Как создать образ автозапуска? ]

Перейти