santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 26.03.2012 05:44:57

Цитата
RP55 RP55 пишет: Мнение ?

RP55, думаю, надо отталкиваться от другой мысли. Какие из актуальных зловредов не попадают в образ автозапуска, или не могут быть удалены в разных режимах работы: в активном режиме, из под Live.CD, в безопасном режиме.
-------
проводить исследования, и находить зацепки и закономерности.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память » explorer.exe(2392) - модифицированный Win32/Corkow.A троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 26.03.2012 05:38:44

чисто,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
тема закрыта

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.03.2012 20:15:54

Цитата
onix пишет: помогите

долечите систему по нашим рекомендациям начиная от слов
далее из сообщения 2

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.03.2012 19:58:34

Цитата
zloyDi пишет: В четверг делал удаленку на зараженный ПК, был только Delf.OEW, Carberp не было! После удаления, нод спокойно обновился и с карантина вынес вирус.

а сеть не пропала после его удаления: или netsh использовал для восстановления winsock?

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.03.2012 19:51:54

Цитата
zloyDi пишет: Небольшое замечание по данному вирусу, нод не может обновить свои базы, сайт пингуется, но базы не в какую не обновлялись. Так что я думаю это очередная замануха по типу Спай шиза, чтобы нод не смог обновить базы и удалить вирус. Но как говорится, болт им!

Цитата

zloyDi пишет:
Небольшое замечание по данному вирусу, нод не может обновить свои базы, сайт пингуется, но базы не в какую не обновлялись.
Так что я думаю это очередная замануха по типу Спай шиза, чтобы нод не смог обновить базы и удалить вирус.
Но как говорится, болт им!

по сути, через winsock он контролирует весь трафик.
то что нельзя обновить антивир,
может быть - это результат Carberp=а? ведь они как правило вместе в системе

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/MBRlock.C троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.03.2012 16:47:29

Цитата
24.03.2012 22:30:27 Модуль сканирования файлов, исполняемых при запуске системы загрузочный сектор MBR-сектор физического диска 0 Win32/MBRlock.C троянская программа MICROSOF-D851EA\Администратор

скрипт выполните в uVS, который для вас написан в сообщение 4

Изменено: santy - 25.03.2012 16:47:46

[ Как создать образ автозапуска? ]

Перейти

Оперативная память » explorer.exe(1892) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.03.2012 15:26:50

продолжите выполнять наши рекомендации со слов
далее

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память » explorer.exe(228) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.03.2012 15:25:58

обратитесь на другой форум, здесь подобные темы с установленной программой Tnod не пролечиваем.
тема закрыта.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.03.2012 14:59:48

образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.03.2012 13:56:57

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VRAVKCCMVZU.EXE addsgn A7679B1BB9A24D720B87F8E6A34D8EFBDA75FCF689FAD8FD613D3A4350D6714CE492AFA9C1AAF9492B80431AA6E8B60569DFE872929F482C2D77A4E842A6DC8C 8 tr.carberp bl 203783F4CCB2644D7063AEDB14EF3B64 388136 delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VRAVKCCMVZU.EXE delref HTTP://WWW.I.COM.UA/~VIDEO/ deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VRAVKCCMVZU.EXE
addsgn A7679B1BB9A24D720B87F8E6A34D8EFBDA75FCF689FAD8FD613D3A4350D6714CE492AFA9C1AAF9492B80431AA6E8B60569DFE872929F482C2D77A4E842A6DC8C 8 tr.carberp

bl 203783F4CCB2644D7063AEDB14EF3B64 388136
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VRAVKCCMVZU.EXE
delref HTTP://WWW.I.COM.UA/~VIDEO/
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем virus )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти