santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Оперативная память » explorer.exe(1460) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна, Какая-то гадость в оперативке.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.03.2012 12:27:50

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\BHJ76YKYPO0.EXE addsgn A7679B1BB9D24D720B132B1D9A37ED05258AFC310C16E1877AC3C5BC5011F430DDE83C333E559D8EAE687A60B91449FA7D18AD8A55DAB02CEAF214D138F92273 10 tr.Carberp bl E92A05D3437EDCE991ABB0B57F3881DC 312856 delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\BHJ76YKYPO0.EXE chklst delvir deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\BHJ76YKYPO0.EXE
addsgn A7679B1BB9D24D720B132B1D9A37ED05258AFC310C16E1877AC3C5BC5011F430DDE83C333E559D8EAE687A60B91449FA7D18AD8A55DAB02CEAF214D138F92273 10 tr.Carberp

bl E92A05D3437EDCE991ABB0B57F3881DC 312856
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\BHJ76YKYPO0.EXE
chklst
delvir
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем virus )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

ВИРУС

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.03.2012 11:33:26

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 deltmp delnfr restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

У меня проблема (для многих, вижу, не новая): explorer.exe(1700) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.03.2012 11:29:29

продолжите очистку системы со слов далее

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] winlogon.exe(780) - модифицированный Win32/Spy.SpyEye.CA

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.03.2012 10:55:47

ок.
если есть желание переустановить систему, тему закрываю.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Троян, Троян

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.03.2012 08:57:42

сделайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] оперативная память explorer.exe(2716), троян

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.03.2012 08:44:18

лог МБАМ чистый,
выполните наши рекомендации по безопасной работе
http://forum.esetnod32.ru/forum9/topic3998/
тему закрываю.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] оперативная память explorer.exe(2716), троян

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.03.2012 07:57:47

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %Sys32%\VSMVHK.DLL addsgn A7679BC9DE37442480A1A2E6EFB50280D3FFF575B486A479E5C32E9AD328703826943D554B773CC9F981E41A866240AD2B8C17A2D01AC4207A21F7C720F8DD8C 64 tr.ddox.ci delall %SystemDrive%\DOCUMENTS AND SETTINGS\BUH1\TZFLWRNY.EXE addsgn A7679B19B95224724ACC8CD96469BC8DCD9AD7F68979DB70D6F017B7806D104A2317A9715655607DF9EA9EF55D7CA5128CF5E872D61EA407F5F45FF2C8838A73 8 a variant of Win32/Kryptik.ACVA [NOD32] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\BUH1\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\3V9AQKAQYRC.EXE bl 4CE323F9CFA6B3783327F4F32B494881 161792 delall %SystemDrive%\DOCUMENTS AND SETTINGS\BUH1\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\3V9AQKAQYRC.EXE delall %SystemRoot%\EXPLORER.EXE:USERINI.EXE deltmp delnfr sreg delref %Sys32%\VSMVHK.DLL areg

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %Sys32%\VSMVHK.DLL
addsgn A7679BC9DE37442480A1A2E6EFB50280D3FFF575B486A479E5C32E9AD328703826943D554B773CC9F981E41A866240AD2B8C17A2D01AC4207A21F7C720F8DD8C 64 tr.ddox.ci
delall %SystemDrive%\DOCUMENTS AND SETTINGS\BUH1\TZFLWRNY.EXE
addsgn A7679B19B95224724ACC8CD96469BC8DCD9AD7F68979DB70D6F017B7806D104A2317A9715655607DF9EA9EF55D7CA5128CF5E872D61EA407F5F45FF2C8838A73 8 a variant of Win32/Kryptik.ACVA [NOD32]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\BUH1\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\3V9AQKAQYRC.EXE
bl 4CE323F9CFA6B3783327F4F32B494881 161792
delall %SystemDrive%\DOCUMENTS AND SETTINGS\BUH1\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\3V9AQKAQYRC.EXE
delall %SystemRoot%\EXPLORER.EXE:USERINI.EXE
deltmp
delnfr
sreg
delref %Sys32%\VSMVHK.DLL
areg

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.03.2012 06:47:13

да, но я немного о другом.
чтобы uVS мог определить - кем подписан скрипт. а для этого он должен использовать несколько консольных команд при обращении к криптографическому ядру.
openPGP документирован и команды для манипулиции с ЦП, с шифрованием_дешифрованием все описаны.
---------
здесь достаточно использовать несколько команд:
импортировать public key в свою базу.
проверить ЦП,

------

Изменено: santy - 21.03.2012 08:05:10

[ Как создать образ автозапуска? ]

Перейти

Оперативная память » explorer.exe(3500) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.03.2012 06:33:50

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЕВГЕНИЙ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\XPLZHNIZEZ0.EXE addsgn A7679B1BB9D64D720B87F8E6C5C8024525DA147F7705E0FB41C766387B9771C72E93E8163E04759CD57F7B1C8212EA2E569EE8F940DAA06C2D78122DFAA72273 8 lsass_vir addsgn 733F829D556A19F9E75742A1E5ED83BE658AFCF689FABEE93E83C5FCF347CA0C2394FEC685159D432405AB9F4616B68FA5209D9EAAAF50D358AB5B5A1BF957AB 64 fixhost zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЕВГЕНИЙ\LOCAL SETTINGS\TEMP\HTTSWF.DLL zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЕВГЕНИЙ\LOCAL SETTINGS\TEMP\SAKYEU.DLL addsgn E72C519A553FC79E8838BEB2619C2845252B5C47C9FAE04D957B85BCD1F337F0631771EC7E550FB6F9037C9F499248FA7DDF2BF3506E176C2DDF036FC76C0019 64 tr.winsock zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\BVZCNADROFMG2O04BNU.DLL bl 72AE6C058199333E0685C28D12C8C3E7 312856 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЕВГЕНИЙ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\XPLZHNIZEZ0.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\BVZCNADROFMG2O04BNU.DLL delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЕВГЕНИЙ\LOCAL SETTINGS\TEMP\HTTSWF.DLL delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЕВГЕНИЙ\LOCAL SETTINGS\TEMP\SAKYEU.DLL chklst delvir deltmp delnfr regt 14 EXEC cmd /c"netsh winsock reset catalog" restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЕВГЕНИЙ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\XPLZHNIZEZ0.EXE
addsgn A7679B1BB9D64D720B87F8E6C5C8024525DA147F7705E0FB41C766387B9771C72E93E8163E04759CD57F7B1C8212EA2E569EE8F940DAA06C2D78122DFAA72273 8 lsass_vir
addsgn 733F829D556A19F9E75742A1E5ED83BE658AFCF689FABEE93E83C5FCF347CA0C2394FEC685159D432405AB9F4616B68FA5209D9EAAAF50D358AB5B5A1BF957AB 64 fixhost
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЕВГЕНИЙ\LOCAL SETTINGS\TEMP\HTTSWF.DLL
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЕВГЕНИЙ\LOCAL SETTINGS\TEMP\SAKYEU.DLL
addsgn E72C519A553FC79E8838BEB2619C2845252B5C47C9FAE04D957B85BCD1F337F0631771EC7E550FB6F9037C9F499248FA7DDF2BF3506E176C2DDF036FC76C0019 64 tr.winsock
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\BVZCNADROFMG2O04BNU.DLL
bl 72AE6C058199333E0685C28D12C8C3E7 312856
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЕВГЕНИЙ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\XPLZHNIZEZ0.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\BVZCNADROFMG2O04BNU.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЕВГЕНИЙ\LOCAL SETTINGS\TEMP\HTTSWF.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЕВГЕНИЙ\LOCAL SETTINGS\TEMP\SAKYEU.DLL
chklst
delvir
deltmp
delnfr
regt 14
EXEC cmd /c"netsh winsock reset catalog"
restart

[ Как создать образ автозапуска? ]

Перейти

получение рекомендаций и скриптов лечения

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.03.2012 06:16:06

Rootkit.MBR.Mayachok.B
https://www.virustotal.com/file/b63625ea5e655bf4cfe3e6542d07c7c4a0cd52eb65e8f5688fdb7eee8e1c5461/analysis/
здесь fixvbr скорее всего не поможет в скрипте из активной системы
----------
выполните для контроля сканирование в tdsskiller

Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.

[ Как создать образ автозапуска? ]

Перейти