Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
aleksr-9 пишет: Обнаружил еще: Оперативная память » explorer.exe(1168) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна
загрузчик заражен модифицированным Carberp
Цитата
Полное имя IPL NTFS [C:] Имя файла IPL NTFS [C:] Тек. статус ?ВИРУС? ВИРУС загрузчик
Хэш НЕ найден на сервере. 2012-03-18 [2012-03-18 07:22:42 UTC ( 1 minute ago )] BitDefender Rootkit.MBR.Mayachok.B AntiVir BOO/Cidox.C
Сохраненная информация на момент создания образа Статус загрузчик Размер 7680 байт
Доп. информация на момент обновления списка SHA1 A53FE9E993D65A7F5DEE2BC6051C87322887A239
в данном случае, скрипты uVS и скан в малваребайт не помогут ------------- выполните лечение в tdsskiler,
Цитата
Скачайте, распакуйте и запустите TDSSKiller:
Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его. Файл C:\TDSSKiller.***_log.txt приложите в теме. (где *** - версия программы, дата и время запуска.
перегрузите систему после лечения, и сделайте новый образ автозапуска в uvs.
лог чистый, если проблема решена, выполните рекомендации
[ Закрыто] 18.03.12 0:55:13 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(3380) вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна
перезагрузка, пишем о старых и новых проблемах. архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected] (если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем virus ) ------------ далее, сделайте дополнительно
[ Закрыто] Оперативная память » explorer.exe(768) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна, Помогите избавиться.
Обнаруженные файлы: 2 C:\Documents and Settings\Admin_Dreamer\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято. C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
далее, выполните наши рекомендации
[ Закрыто] Оперативная память » explorer.exe(768) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна, Помогите избавиться.
перезагрузка, пишем о старых и новых проблемах. архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected] (если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем virus ) ------------ далее, сделайте дополнительно
[ Закрыто] Оперативная память » taskhost.exe(2760) - модифицированный Win32/Spy.SpyEye.CA троянская программа - очистка невозможна
перезагрузка, пишем о старых и новых проблемах. архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected] (если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем virus ) ------------ далее, сделайте дополнительно
[ Закрыто] модифицированный Win32/Spy.SpyEye.CA, Оперативная память » winlogon.exe(464)
выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn 3AE0779AEC6A4E720B5542A566C812BD378AFCF6DAAC9C94814AC998078022CFCF134A7B1A7C5546AD78849F46AD3AA53DDFAB21641ABD1C98875B3AC74D2D73 8 a variant of Win32/Kryptik.ACQN [NOD32]
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
bl 1372F294D7C1DA13E593FC3EFE7D49EC 24064
addsgn 9252773A176AC1CC0BA4534E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4BACC7533E021E8A2FD3ECACC81749ACFE1CEC21051DB32F2D75A4BF5796B2E3 8 a variant of Win32/Kryptik.ABYE [NOD32]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\ZLJAJZ.EXE
bl 62697687B70E1C789933930C6A3F3A61 107520
addsgn 3AE0779AECE24D720B5542A566C812BD378AFCF6DBAA9C94814AF998078022CFCF134A7B1A7C5546AD80859F46A92E443DDFAF25642C0E1C98875BAE1106697C 8 BackDoor.IRC.Bot.166 [DrWeb]
zoo %SystemRoot%\SADRIVE32.EXE
bl F8CAE6CECC506D0599912C3F9121E348 57344
addsgn 925277DA146AC1CC0B04504E3323193DAF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Win32/SpamTool.Tedroo.AQ [NOD32]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\3B1.TMP
bl 4E42E1D48F2395BD565C2FA50AC2A0AE 125952
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\ZLJAJZ.EXE
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
delall %SystemRoot%\SADRIVE32.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\3B1.TMP
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\LLJAJL.EXE
delall E:\RECYCLER\S-51-9-25-3434476501-1644491933-602325628-1214\INSTM.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA
chklst
delvir
delall %SystemDrive%\PROGRAM FILES\PCHD\PCHDPLAYER.EXE
delref HTTP://SEARCH.QIP.RU
delref HTTP://WEBALTA.RU
delref HTTP://WWW.SMAXXI.BIZ
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2\MEDIAGET.EXE
deltmp
delnfr
regt 5
crimg
restart
перезагрузка, пишем о старых и новых проблемах. архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected] (если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем virus )
добавьте на форум новый образ автозапуска, который был создан автоматически во время выполнения скрипта. (с новой дата_время) должен быть в папке с uVS
