santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Троян, explorer.exe(2024) модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.04.2012 20:32:32

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 addsgn A7679B19B92A26D163D4B5983FA2D46D25E44323E3B1F71FB5C3C53F94C22224239EF7EE5655068BE6E8844B0B17A1064CDFE8F191D6DAA1457768FE3A6E22BD 8 tr.Carberp zoo %SystemDrive%\USERS\АВИЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\LLHVHBBPBI4.EXE bl 92B8124EBCE98CA8F4887BBD590D933F 176640 delall %SystemDrive%\USERS\АВИЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\LLHVHBBPBI4.EXE chklst delvir deltmp delnfr exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} exec C:\PROGRAM FILES\TICNO\MULTIBAR\UNINSTALL.EXE restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
addsgn A7679B19B92A26D163D4B5983FA2D46D25E44323E3B1F71FB5C3C53F94C22224239EF7EE5655068BE6E8844B0B17A1064CDFE8F191D6DAA1457768FE3A6E22BD 8 tr.Carberp
zoo %SystemDrive%\USERS\АВИЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\LLHVHBBPBI4.EXE
bl 92B8124EBCE98CA8F4887BBD590D933F 176640
delall %SystemDrive%\USERS\АВИЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\LLHVHBBPBI4.EXE
chklst
delvir
deltmp
delnfr
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec C:\PROGRAM FILES\TICNO\MULTIBAR\UNINSTALL.EXE
restart

перезагрузка,
архив из каталога uVS (по формату: 2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

Win32/TrojanDownloader.Carberp.AH

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.04.2012 20:29:41

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\QBNQU4RLYTQ.EXE addsgn A7679B19B90AC7677BF4ECB10ECD7A053753919E8917C4CDEDC37D95333E8C7B231740932E06253E2B8084F5407C2B927DBB1ADBBD36882C2DF46023916C379B 8 a variant of Win32/Kryptik.ADHJ [NOD32] bl ECCB0E328CFCF3F89293436A5FC94716 174592 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\QBNQU4RLYTQ.EXE chklst delvir deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\QBNQU4RLYTQ.EXE
addsgn A7679B19B90AC7677BF4ECB10ECD7A053753919E8917C4CDEDC37D95333E8C7B231740932E06253E2B8084F5407C2B927DBB1ADBBD36882C2DF46023916C379B 8 a variant of Win32/Kryptik.ADHJ [NOD32]
bl ECCB0E328CFCF3F89293436A5FC94716 174592
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\QBNQU4RLYTQ.EXE
chklst
delvir
deltmp
delnfr
restart

[ Как создать образ автозапуска? ]

Перейти

Win32/TrojanDownloader.Carberp.AH, Оперативная память = explorer.exe(852) - модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.04.2012 20:25:51

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.0 addsgn A7679B19B93A7FBB61FEC4910CC8B89772E02C9E89B2992D6D6BE9BC5055B558707D0B3F3E16410E4380A10D937E4960C9F28072857A47C4325DA42F44C2369B 8 tr.Carberp zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\UY3C2CGU8SK.EXE bl C47DA95D05D6B22F4DB5A379FF7A2997 177152 delall %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\UY3C2CGU8SK.EXE chklst delvir deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0
addsgn A7679B19B93A7FBB61FEC4910CC8B89772E02C9E89B2992D6D6BE9BC5055B558707D0B3F3E16410E4380A10D937E4960C9F28072857A47C4325DA42F44C2369B 8 tr.Carberp
zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\UY3C2CGU8SK.EXE
bl C47DA95D05D6B22F4DB5A379FF7A2997 177152
delall %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\UY3C2CGU8SK.EXE
chklst
delvir
deltmp
delnfr
restart

[ Как создать образ автозапуска? ]

Перейти

модифицированный Win32/Dorkbot.A червь - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.04.2012 20:21:54

Цитата
zeitzvill пишет: Вот. Я отправил архив с вирусами на файлообменник. Что дальше??

лог журнала обнаружения угроз нужен.
как сделать - смотрите есть инструкция по ссылке

[ Как создать образ автозапуска? ]

Перейти

Помогите!!!!! = explorer.exe(712) - модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна, ..

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.04.2012 16:42:06

нужен образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.04.2012 15:23:38

не только.
в локальной сети если есть свои DNS-сервера (внутренний, не провайдера) кэширует имена рабочих станций и серверов и локальные ипы, соответственно ping по имени компа, подключение по RDP к хосту по имени работать не будет если выставлены только внешние айпишники dns серверов, без альтернативных локальных.

[ Как создать образ автозапуска? ]

Перейти

модифицированный Win32/Dorkbot.A червь - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.04.2012 11:57:20

1. добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic2687/

2. образ автозапуска созданный в безопасном режиме.

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.04.2012 08:04:13

Цитата
Арвид пишет: о, круто

посмотрел вчера тему на PCHF, вот там настоящий праздник!

------
по очистке DNS.
для локальной сети наверное правильнее будет просто сбросить левые DNS, иначе комп перестанет находить в сети другие по DNS-name.

[ Как создать образ автозапуска? ]

Перейти

Оперативная память = explorer.exe(412) - модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.04.2012 20:18:24

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn A7679B19B926A4A63CD4AEDB7AA29F6D25A8250261712C78854001B003BCEF261BFF7A703E551E8D2368E9B146161F90A8B7E8904D8258511B77A4AC030E4A73 8 Carberp.AH zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\X3FFKHEMIJ8.EXE bl 22B1B56B80EE9818D9FB32DF18FF8B0B 178176 delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\X3FFKHEMIJ8.EXE chklst delvir deltmp delnfr CZOO restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn A7679B19B926A4A63CD4AEDB7AA29F6D25A8250261712C78854001B003BCEF261BFF7A703E551E8D2368E9B146161F90A8B7E8904D8258511B77A4AC030E4A73 8 Carberp.AH
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\X3FFKHEMIJ8.EXE
bl 22B1B56B80EE9818D9FB32DF18FF8B0B 178176
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\X3FFKHEMIJ8.EXE
chklst
delvir
deltmp
delnfr
CZOO
restart

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] http:\\goodcazino.com, Выбрасывает на эту ссылку

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.04.2012 17:25:57

ок, тогда выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
тему закрываю.

[ Как создать образ автозапуска? ]

Перейти