santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Оперативная память » explorer.exe(560) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.03.2012 09:25:55

сделайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

Win32/Spy.Shiz.NCE

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.03.2012 06:43:10

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn A7679B19B942B37F8B87FEB1A3CD1754758AC7E589FA48FB88B696EC50FA2724FE469357C140B5596E80278C15464905687FF8375553F5C824B7ABAA451F2273 8 spy.shiz zoo %SystemRoot%\APPPATCH\BPANTDN.EXE bl 1FABEDB45DDDC3DF07277265476B2B6E 262144 delall %SystemRoot%\APPPATCH\BPANTDN.EXE delall %SystemDrive%\PROGRAM FILES\PCHD\PCHDPLAYER.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\МОЙ\APPLICATION DATA\MICROSOFT\NETWORK\CONNECTIONS\CM\NEXTONE\REGEDIT.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\МОЙ\APPLICATION DATA\MICROSOFT\NETWORK\CONNECTIONS\CM\NEXTONE\REGEDIT.EXE chklst delvir delref HTTP://WEBALTA.RU delref HTTP://START.WEBALTA.RU deltmp delnfr regt 12 regt 14 restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn A7679B19B942B37F8B87FEB1A3CD1754758AC7E589FA48FB88B696EC50FA2724FE469357C140B5596E80278C15464905687FF8375553F5C824B7ABAA451F2273 8 spy.shiz
zoo %SystemRoot%\APPPATCH\BPANTDN.EXE
bl 1FABEDB45DDDC3DF07277265476B2B6E 262144
delall %SystemRoot%\APPPATCH\BPANTDN.EXE
delall %SystemDrive%\PROGRAM FILES\PCHD\PCHDPLAYER.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\МОЙ\APPLICATION DATA\MICROSOFT\NETWORK\CONNECTIONS\CM\NEXTONE\REGEDIT.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\МОЙ\APPLICATION DATA\MICROSOFT\NETWORK\CONNECTIONS\CM\NEXTONE\REGEDIT.EXE
chklst
delvir
delref HTTP://WEBALTA.RU
delref HTTP://START.WEBALTA.RU
deltmp
delnfr
regt 12
regt 14
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем virus )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

Вирус называется Win32/Dorkbot.B червь

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.03.2012 21:44:13

Цитата
12.03.2012 20:02:25 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1628) модифицированный Win32/Dorkbot.B червь очистка невозможна ANNA\А Н Н А

------------
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 deltmp delnfr regt 5 restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

Вирус называется Win32/Dorkbot.B червь

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.03.2012 20:11:57

сделайте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память » explorer.exe(1852) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна, Тормозит система, не обновляется антивирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.03.2012 19:10:07

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\СЕМЬЯ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\WAII8ZCCN1I.EXE addsgn A7679B19B922F4F20BD4AEDBC2A01200987714DAA1FA1FFB41CB96D617BC65A44325C357BD9195212B192B822E1695BE2237605955DA33E82521CE97AD94CA78 8 a variant of Win32/Kryptik.ACBQ [NOD32] bl CFB1197957374A6DF30920A0D4248285 158208 delall %SystemDrive%\DOCUMENTS AND SETTINGS\СЕМЬЯ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\WAII8ZCCN1I.EXE chklst delvir delref HTTP://SEARCH.CONDUIT.COM?SEARCHSOURCE=10&CTID=CT2269050 delref HTTP://SEARCH.QIP.RU delref HTTP://QIP.RU deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\СЕМЬЯ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\WAII8ZCCN1I.EXE
addsgn A7679B19B922F4F20BD4AEDBC2A01200987714DAA1FA1FFB41CB96D617BC65A44325C357BD9195212B192B822E1695BE2237605955DA33E82521CE97AD94CA78 8 a variant of Win32/Kryptik.ACBQ [NOD32]

bl CFB1197957374A6DF30920A0D4248285 158208
delall %SystemDrive%\DOCUMENTS AND SETTINGS\СЕМЬЯ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\WAII8ZCCN1I.EXE
chklst
delvir
delref HTTP://SEARCH.CONDUIT.COM?SEARCHSOURCE=10&CTID=CT2269050
delref HTTP://SEARCH.QIP.RU
delref HTTP://QIP.RU
deltmp
delnfr
restart

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.03.2012 19:07:30

Всякое может быть. Может и хипс быть настроен на защиту от записи загрузчиков. Надо смотреть логи выполнения скрипта. (С функционалом Аваст 7 не знаком.)

Изменено: santy - 12.03.2012 19:07:45

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.03.2012 16:47:15

на такой системе хоть кого прошибут

Цитата
uVS v3.74: Microsoft Windows XP x86 (NT v5.1) build 2600 Service Pack 2 [C:\WINDOWS]

[ Как создать образ автозапуска? ]

Перейти

Помогите с удалением вируса..., Оперативная память » explorer.exe(1568) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.03.2012 16:32:54

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\5MFG6C54S6Y.EXE addsgn A7679B19B922F4F20BD4AEDBC2A01200987714DAA1FA1FFB41CB96D617BC65A44325C357BD9195212B192B822E1695BE2237605955DA33E82521CE97AD94CA78 8 a variant of Win32/Kryptik.ACBQ [NOD32] bl CFB1197957374A6DF30920A0D4248285 158208 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\5MFG6C54S6Y.EXE chklst delvir deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\5MFG6C54S6Y.EXE
addsgn A7679B19B922F4F20BD4AEDBC2A01200987714DAA1FA1FFB41CB96D617BC65A44325C357BD9195212B192B822E1695BE2237605955DA33E82521CE97AD94CA78 8 a variant of Win32/Kryptik.ACBQ [NOD32]

bl CFB1197957374A6DF30920A0D4248285 158208
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\5MFG6C54S6Y.EXE
chklst
delvir
deltmp
delnfr
restart

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.03.2012 16:12:17

а текст откуда? ссылка есть? или он к скриншоту не имеет прямого отношения?

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.03.2012 16:09:05

сделайте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти