santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Помогите удалить вирус из оперативной памяти Carberp.af

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.01.2012 15:10:19

выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

Код
;uVS v3.73.1 script [http://dsrt.dyndns.org] addsgn A7679B19B93EF4647CD4AE0BACBF1284264875B37DA92CAA0E96318780A366C76EE3F202CADE5F62EABB46EA4F9D040E7C9A1C73182EE6A76083A7E74C03CAE0 8 Trojan.Inject.62504 [DrWeb] zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\J7T7Q8N8K3O.EXE bl 81B6F5A455728EA3561B7B1863362A09 165376 delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\J7T7Q8N8K3O.EXE chklst delvir deltmp delnfr restart

Код


;uVS v3.73.1 script [http://dsrt.dyndns.org]

addsgn A7679B19B93EF4647CD4AE0BACBF1284264875B37DA92CAA0E96318780A366C76EE3F202CADE5F62EABB46EA4F9D040E7C9A1C73182EE6A76083A7E74C03CAE0 8 Trojan.Inject.62504 [DrWeb]

zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\J7T7Q8N8K3O.EXE
bl 81B6F5A455728EA3561B7B1863362A09 165376
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\J7T7Q8N8K3O.EXE
chklst
delvir
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

[ Как создать образ автозапуска? ]

Перейти

Помогите удалить вирус из оперативной памяти Carberp.af, NOD ругается на вирус в оперативной памяти >> explorer.exe(216) - модифицированный win32/TrojanDownloader.Carberp.af троянская программа.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.01.2012 15:06:32

сделайте дополнительно проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.01.2012 11:30:32

Это тоже должно быть выполнено.

Цитата
Чтобы запретить Защитнику Windows автоматически проверять компьютер, нажмите Пуск –> Панель управления –> Защитник Windows –> меню Сервис и параметры –> Средства и параметры –> Параметры –> снимите флажок Автоматически проверять компьютер –> Сохранить –> закройте окно Защитник Windows –> закройте Панель управления.

Цитата

Чтобы запретить Защитнику Windows автоматически проверять компьютер, нажмите Пуск –> Панель управления –> Защитник Windows –> меню Сервис и параметры –> Средства и параметры –> Параметры –> снимите флажок Автоматически проверять компьютер –> Сохранить –> закройте окно Защитник Windows –> закройте Панель управления.

возможно, в настройках установлено - "автоматически проверять", и в тоже время служба отключена, отсюда и конфликт.

Изменено: santy - 22.01.2012 11:30:45

[ Как создать образ автозапуска? ]

Перейти

Такая же беда

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.01.2012 11:26:26

сделайте дополнительно проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.01.2012 11:25:18

вот это решение еще проверьте

Цитата
Надо в командной строке написать msconfig во вкладке службы отключить защитника также в вкладке автозагрузка убрать галочку чтоб не было ошибки 0x800106ba

http://www.thg.ru/forum/showthread.php?t=10557

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.01.2012 10:53:12

пробуйте отключить Windows Defender.

Изменено: santy - 22.01.2012 10:53:40

[ Как создать образ автозапуска? ]

Перейти

Вирус в оперативной памяти, очистка невозможна, Оперативная память » explorer.exe(1876) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.01.2012 10:45:51

скрипт в сообщении.

выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

Код
;uVS v3.73.1 script [http://dsrt.dyndns.org] addsgn A7679B19B9721B24CCD1799427C885C1258A94F689FA1F27D27CC08155D6FABBA2D1C4B10355CBB63ED8F4DF469F0C0A4E20299D5225BD180B34A4916C1F2273 8 Spy.Shiz zoo %SystemRoot%\APPPATCH\OOWNNYI.EXE bl D1CEEE3942479813EF3D3981ED576376 263168 delall %SystemRoot%\APPPATCH\OOWNNYI.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\MAN123\APPLICATION DATA\QIPGUARD\QIPGUARD.EXE delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU delall %SystemDrive%\DOCUMENTS AND SETTINGS\MAN123\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL chklst delvir deltmp delnfr regt 12 restart

Код

;uVS v3.73.1 script [http://dsrt.dyndns.org]

addsgn A7679B19B9721B24CCD1799427C885C1258A94F689FA1F27D27CC08155D6FABBA2D1C4B10355CBB63ED8F4DF469F0C0A4E20299D5225BD180B34A4916C1F2273 8 Spy.Shiz

zoo %SystemRoot%\APPPATCH\OOWNNYI.EXE
bl D1CEEE3942479813EF3D3981ED576376 263168
delall %SystemRoot%\APPPATCH\OOWNNYI.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\MAN123\APPLICATION DATA\QIPGUARD\QIPGUARD.EXE
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delall %SystemDrive%\DOCUMENTS AND SETTINGS\MAN123\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
chklst
delvir
deltmp
delnfr
regt 12
restart

Изменено: santy - 22.01.2012 10:46:52

[ Как создать образ автозапуска? ]

Перейти

MBR-сектор физического диска Ripper вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.01.2012 10:39:48

лог журнала - это не все что нужно для решение проблемы.
см. сообщение 2
+
сделайте лог ESET Sysinspector

Изменено: santy - 22.01.2012 10:41:13

[ Как создать образ автозапуска? ]

Перейти

Такая же беда

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.01.2012 10:37:40

Код
;uVS v3.73.1 script [http://dsrt.dyndns.org] addsgn A7679B19B92A260A6161463774C81286E182AF9CB190E812522B75AF50D6F2882F41A94654A075233C80841C821E1E90C337657C55DA33E829CD242FC70648F6 8 Win32/Kryptik.ZFR [NOD32] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CQZRDLKUFGG.EXE bl 7953526D3DC72D13EA339C3D8AA898B9 174592 delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CQZRDLKUFGG.EXE chklst delvir deltmp delnfr restart

Код


;uVS v3.73.1 script [http://dsrt.dyndns.org]

addsgn A7679B19B92A260A6161463774C81286E182AF9CB190E812522B75AF50D6F2882F41A94654A075233C80841C821E1E90C337657C55DA33E829CD242FC70648F6 8  Win32/Kryptik.ZFR [NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CQZRDLKUFGG.EXE
bl 7953526D3DC72D13EA339C3D8AA898B9 174592
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CQZRDLKUFGG.EXE
chklst
delvir
deltmp
delnfr
restart

Цитата
Голосуем за лучшую программу года по версии Softodrom.ru http://soft.softodrom.ru/ap/Universal-Virus-Sniffer-uVS-p19081 (необходима регистрация на форуме)

Изменено: santy - 22.01.2012 10:38:02

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.01.2012 01:21:32

Код
;uVS v3.73.1 script [http://dsrt.dyndns.org] fixvbr C: 6 delref HTTP://WWW.SMAXI.NET delref HTTP://STARTRU.NET/?UTM_MEDIUM=IH&UTM_SOURCE=DT&UTM_CAMPAIGN=BP&UTM_CONTENT=11-11 deltmp delnfr restart

перезагрузка, пишем о старых и новых проблемах.

Изменено: santy - 22.01.2012 01:21:48

[ Как создать образ автозапуска? ]

Перейти