santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Оперативная память » explorer.exe(704) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.01.2012 12:13:18

это удалить

Цитата
C:\Documents and Settings\ton\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято. C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

остальное пусть живет пока.
далее,
выполните наши рекомендации по безопасной работе
http://forum.esetnod32.ru/forum9/topic751/

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.01.2012 11:25:35

выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

Код
;uVS v3.73.2 script [http://dsrt.dyndns.org] delall E:\AUTORUN.INF addsgn A7679B19B95226F76185C4870EE7FAC7308AFC754DEA4CF1C013933FA88F055FA85A13DC6B859C04FBEA0777E30349FAFE1BEC1807B0D8C4B462A42F44C22A24 8 tr.Carberp zoo %SystemDrive%\DOCUMENTS AND SETTINGS\TON\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\2EX6NPLMA1M.EXE bl 4A73AF2411B5FC5BD42B76853F967F37 165888 delall %SystemDrive%\DOCUMENTS AND SETTINGS\TON\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\2EX6NPLMA1M.EXE chklst delvir deltmp delnfr restart

Код


;uVS v3.73.2 script [http://dsrt.dyndns.org]

delall E:\AUTORUN.INF
addsgn A7679B19B95226F76185C4870EE7FAC7308AFC754DEA4CF1C013933FA88F055FA85A13DC6B859C04FBEA0777E30349FAFE1BEC1807B0D8C4B462A42F44C22A24 8 tr.Carberp

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\TON\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\2EX6NPLMA1M.EXE
bl 4A73AF2411B5FC5BD42B76853F967F37 165888
delall %SystemDrive%\DOCUMENTS AND SETTINGS\TON\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\2EX6NPLMA1M.EXE
chklst
delvir
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] модифицированный Win32/Corkow, explorer.exe(1360) заражен модифицированный Win32/Corkow

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.01.2012 11:21:54

нужен образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
причем uVS должен быть версии .3.73.2
скачать отсюда
http://rghost.ru/users/santy/releases/utilitiesLiveCd

[ Как создать образ автозапуска? ]

Перейти

Вирус Оперативная память - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.01.2012 11:01:47

Код
;uVS v3.73.2 script [http://dsrt.dyndns.org] adddir %SystemDrive%\USERS\МИХА\APPDATA\ROAMING deltmp delnfr crimg

без перезагрузки
образ будет создан скриптом автоматически
и сохранен в каталог uVS
добавить новый образ автозапуска из каталога uVS

[ Как создать образ автозапуска? ]

Перейти

сообщение о повреждении ядра

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.01.2012 10:29:41

Вообще, говоря, если Sirefef removal tool будет залечивать ZAccess, так же хорошо, как и SpyEye removal tool - Spy.SpyEye,
то это будет неплохо.

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.01.2012 10:21:05

Здесь кстати интересное интервью А.Матросова о работе Центра аналитики и исследований журналу хакер.ру
http://issuu.com/xakep_magazine/docs/alexandr_matrosov_interview_xakep

[ Как создать образ автозапуска? ]

Перейти

Вирус Оперативная память - модифицированный Win32/Dorkbot.B червь - очистка невозможна, Оперативная память - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.01.2012 06:47:15

сканирование в малваребайт сделайте.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.01.2012 06:28:14

Код
;uVS v3.73.2 script [http://dsrt.dyndns.org] zoo %SystemDrive%\USERS\UZER\APPDATA\ROAMING\DEA3.EXE addsgn 1A0F8965AA598C225B84FE59DAE31205E6DCAB7DF5DE13F374480A356E3EA1EBDCE84A1136DCCB45A00798934616C0BC6D8063B40B18B42CA6B62F274C563248 31 Win32/HiddenStart.A [NOD32] delall %SystemDrive%\USERS\UZER\APPDATA\ROAMING\CXGIGK.EXE bl 37FBCA12ADFF251A3B0BC75EF81CE752 398081 delall %SystemDrive%\USERS\UZER\APPDATA\ROAMING\DEA3.EXE regt 5 restart

Код


;uVS v3.73.2 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\USERS\UZER\APPDATA\ROAMING\DEA3.EXE
addsgn 1A0F8965AA598C225B84FE59DAE31205E6DCAB7DF5DE13F374480A356E3EA1EBDCE84A1136DCCB45A00798934616C0BC6D8063B40B18B42CA6B62F274C563248 31 Win32/HiddenStart.A [NOD32]

delall %SystemDrive%\USERS\UZER\APPDATA\ROAMING\CXGIGK.EXE
bl 37FBCA12ADFF251A3B0BC75EF81CE752 398081
delall %SystemDrive%\USERS\UZER\APPDATA\ROAMING\DEA3.EXE
regt 5
restart

перезагрузка,
далее,
сделайте дополнительно проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.01.2012 06:10:31

у нового образа будет другая дата или время, смотрите внимательно в папке uVS

Изменено: santy - 31.01.2012 06:10:52

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.01.2012 06:07:49

нужен новый образ автозапуска,
вы прикрепили старый образ, тот что в первом сообщении

[ Как создать образ автозапуска? ]

Перейти