santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Помогите пожалуйста с вирусов Win32/TrojanDownloader.carberp.AD

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.03.2012 16:25:58

сделайте новый образ автозапуска в uVS
+
лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

Изменено: santy - 08.03.2012 16:26:48

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Помогите!!!! explorer.exe(2040) вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна.Что делать?, Постоянно выдает ошибку, плюс еще" fixhosts.exe обнаружена ошибка приложение будет закрыто"

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.03.2012 16:22:55

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\СЕРГЕЙ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\UHEYE54S7FK.EXE addsgn A7679BF0AA0230464BD4C6617E881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C2A5D9FE82BD6D7B08C69775BACCA028237 8 tr.Carberp delall %SystemDrive%\DOCUME~1\F9C2~1\LOCALS~1\TEMP\TACRZ.BAT delall %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ECLEANER.EXE bl E9E8E415B0C228C3A69EFE8B87DE8ED4 195584 delall %SystemDrive%\DOCUMENTS AND SETTINGS\СЕРГЕЙ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\UHEYE54S7FK.EXE chklst delvir delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU delref HTTP://WWW.APEHA.RU deltmp delnfr regt 14 restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\СЕРГЕЙ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\UHEYE54S7FK.EXE
addsgn A7679BF0AA0230464BD4C6617E881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C2A5D9FE82BD6D7B08C69775BACCA028237 8 tr.Carberp
delall %SystemDrive%\DOCUME~1\F9C2~1\LOCALS~1\TEMP\TACRZ.BAT
delall %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ECLEANER.EXE
bl E9E8E415B0C228C3A69EFE8B87DE8ED4 195584
delall %SystemDrive%\DOCUMENTS AND SETTINGS\СЕРГЕЙ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\UHEYE54S7FK.EXE
chklst
delvir
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref HTTP://WWW.APEHA.RU
deltmp
delnfr
regt 14
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Помогите пожалуйста с вирусов Win32/TrojanDownloader.carberp.AD

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.03.2012 13:50:31

второй лог - сканирование в малваребайт сделайте

[ Как создать образ автозапуска? ]

Перейти

Win32/TrojanDownloader.Carberp.AD, оперативная память explorer.exe

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.03.2012 13:49:39

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЮЗЕР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\8XGJYJPXGQS.EXE addsgn A7679B1BB9AA4D720B132B1D9A37ED05258AFC310C16E1877AC3C5BC5011F430DDE83C333E559D8EAE687A60B91549FA7D18AD8A55DAB02CEAF214D138F92273 8 tr.Carberp delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЮЗЕР\APPLICATION DATA\NETPROTOCOL.EXE bl 360B35BEA5D81C1E4731A48049967EF3 311840 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЮЗЕР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\8XGJYJPXGQS.EXE chklst delvir deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЮЗЕР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\8XGJYJPXGQS.EXE
addsgn A7679B1BB9AA4D720B132B1D9A37ED05258AFC310C16E1877AC3C5BC5011F430DDE83C333E559D8EAE687A60B91549FA7D18AD8A55DAB02CEAF214D138F92273 8 tr.Carberp

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЮЗЕР\APPLICATION DATA\NETPROTOCOL.EXE
bl 360B35BEA5D81C1E4731A48049967EF3 311840
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЮЗЕР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\8XGJYJPXGQS.EXE
chklst
delvir
deltmp
delnfr
restart

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Помогите пожалуйста с вирусов Win32/TrojanDownloader.carberp.AD

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.03.2012 13:22:20

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delall F:\1\STRANGE CASES 3 CE\SC3_CE.EXE addsgn 9252778A106AC1CC0BD4554E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B5466503E021E8A2FD3EC80F91449ACFE1CEC21051DB32F2D75A4BF5796B2E3 8 a variant of Win32/Kryptik.ABZX [NOD32] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\MAMA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\PKHZPDVQS9O.EXE bl 18A103BEDC8D8B7F21781006B812A89C 185856 delall %SystemDrive%\DOCUMENTS AND SETTINGS\MAMA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\PKHZPDVQS9O.EXE delref HTTP://CASUALGAME.BIZ delall %SystemDrive%\DOCUMENTS AND SETTINGS\LONER\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE chklst delvir deltmp delnfr sreg delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL areg

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delall F:\1\STRANGE CASES 3 CE\SC3_CE.EXE
addsgn 9252778A106AC1CC0BD4554E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B5466503E021E8A2FD3EC80F91449ACFE1CEC21051DB32F2D75A4BF5796B2E3 8 a variant of Win32/Kryptik.ABZX [NOD32]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\MAMA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\PKHZPDVQS9O.EXE
bl 18A103BEDC8D8B7F21781006B812A89C 185856
delall %SystemDrive%\DOCUMENTS AND SETTINGS\MAMA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\PKHZPDVQS9O.EXE
delref HTTP://CASUALGAME.BIZ
delall %SystemDrive%\DOCUMENTS AND SETTINGS\LONER\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE
chklst
delvir
deltmp
delnfr
sreg
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
areg

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Заражены в оперативной памяти explorer.exe(2864) explorer.exe(1568) explorer.exe(2836) explorer.exe(2908) explorer.exe(2688)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.03.2012 12:42:55

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\PAVEL\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DO9IQYP4RQ8.EXE addsgn A7679B19B93A2472B69B83D9648553F4CD7BD9F68979DB70EDC341610DBC812423FD5A185655B1EED4688AB84616CA3E6D8C80720ACD49442DBF2772AD9148C6 8 a variant of Win32/Kryptik.ABRV [NOD32] bl 48EAC29CEBDAB47D8AD120F62DB1082D 155648 delall %SystemDrive%\USERS\PAVEL\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DO9IQYP4RQ8.EXE chklst delvir delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\PAVEL\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DO9IQYP4RQ8.EXE
addsgn A7679B19B93A2472B69B83D9648553F4CD7BD9F68979DB70EDC341610DBC812423FD5A185655B1EED4688AB84616CA3E6D8C80720ACD49442DBF2772AD9148C6 8 a variant of Win32/Kryptik.ABRV [NOD32]

bl 48EAC29CEBDAB47D8AD120F62DB1082D 155648
delall %SystemDrive%\USERS\PAVEL\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DO9IQYP4RQ8.EXE
chklst
delvir
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
restart

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Carberp.AD, help

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.03.2012 18:32:01

ок, выполните очистку в мбам,
далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Carberp.AD, help

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.03.2012 14:02:34

это важно, все учетные записи должны попасть в образ автозапуска

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Carberp.AD, help

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.03.2012 13:52:02

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn A7679BF0AA021C464BD4C6B17F881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CFA5D9FE82BD6D7B0AC69775BACCA02A237 8 tr.Carberp zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАЦИЯ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\BYVEQRMX6CM.EXE bl 671F46837466A22181B054E8E9411058 187392 delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАЦИЯ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\BYVEQRMX6CM.EXE chklst delvir delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT CORPORATION\DRM3PRT.SSK deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn A7679BF0AA021C464BD4C6B17F881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CFA5D9FE82BD6D7B0AC69775BACCA02A237 8 tr.Carberp

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАЦИЯ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\BYVEQRMX6CM.EXE
bl 671F46837466A22181B054E8E9411058 187392
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАЦИЯ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\BYVEQRMX6CM.EXE
chklst
delvir
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT CORPORATION\DRM3PRT.SSK
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем virus )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.03.2012 10:51:11

Цитата
ass пишет: Компьютер сканировали 2 раза, количество обнаруженных угроз: 0

вот с этого надо всегда начинать: лог сканирования или журнал угроз.

[ Как создать образ автозапуска? ]

Перейти