santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Оперативная память » explorer.exe(132) - модифицированный Win32/Carberp.A троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.01.2012 11:40:42

выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

Код
;uVS v3.73 script [http://dsrt.dyndns.org] fixvbr C: 5 deltmp delnfr restart

перезагрузка, пишем о старых и новых проблемах.

[ Как создать образ автозапуска? ]

Перейти

winlogon.exe(936) - модифицированный Win32/Spy.Shiz.NCF троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.01.2012 10:28:44

Код
;uVS v3.73 script [http://dsrt.dyndns.org] zoo %SystemRoot%\APPPATCH\MQPHOE.EXE addsgn A7679B19B9621B2486C13C2130C87A4AEDAFFCA9332DD85685C03FEBAFC3291C6317601CAE019DA17F707B60E5E9D8AE7D20DD7EC78EB0D31847347BC7504A85 8 Spy.Shiz bl 0658E99FC5CFD0ED4D93B24C0A355BB5 265552 delall %SystemRoot%\APPPATCH\MQPHOE.EXE chklst delvir delref HTTP://QIP.RU delref HTTP://QIP.RU/ delref HTTP://SEARCH.QIP.RU deltmp delnfr regt 12 restart

Код


;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemRoot%\APPPATCH\MQPHOE.EXE
addsgn A7679B19B9621B2486C13C2130C87A4AEDAFFCA9332DD85685C03FEBAFC3291C6317601CAE019DA17F707B60E5E9D8AE7D20DD7EC78EB0D31847347BC7504A85 8 Spy.Shiz

bl 0658E99FC5CFD0ED4D93B24C0A355BB5 265552
delall %SystemRoot%\APPPATCH\MQPHOE.EXE
chklst
delvir
delref HTTP://QIP.RU
delref HTTP://QIP.RU/
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
regt 12
restart

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
-------------
далее,
сделайте дополнительно проверку системы в малваребайт

Изменено: santy - 18.01.2012 10:29:04

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память » explorer.exe(252) - модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.01.2012 10:01:28

хорошо,
выполните наши рекомендации,
тему закрываем

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.01.2012 09:50:38

пробуйте в настройках очисить кэш обновлений и повторить обновление баз,
если ошибка повторится,
сделайте повторный образ автозапуска в uVS

[ Как создать образ автозапуска? ]

Перейти

Произошла ошибка обновления баз сигнатур

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.01.2012 20:38:52

причина - в блокировке обновления ESET в таблице маршрутизации:

Цитата
Persistent routes: 128.130.56.0,255.255.255.0,192.168.0.0,1 128.111.48.0,255.255.255.0,192.168.0.0,1 128.130.60.0,255.255.255.0,192.168.0.0,1 139.91.222.0,255.255.255.0,192.168.0.0,1 141.202.248.0,255.255.255.0,192.168.0.0,1 149.101.225.0,255.255.255.0,192.168.0.0,1 Всего: 204

1. по образу uVS
выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

Код
;uVS v3.73 script [http://dsrt.dyndns.org] delall %Sys32%\6A626EAA.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\1\FSWAGZ.EXE delall %Sys32%\IWLHIU.EXE deltmp delnfr regt 12 regt 13 restart

перезагрузка, пишем о старых и новых проблемах.
------
2. сделайте дополнительно проверку системы в малваребайт

Изменено: santy - 17.01.2012 20:51:13

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/Corkow.A

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.01.2012 20:28:42

выполните так же наши рекомендации по безопасной работе
тему закрываем.

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.01.2012 20:24:23

Я вот по этой технологии собирал загрузочный образ
http://forum.esetnod32.ru/forum9/topic1881/

последнюю версию WinPe&uVS373 собирал с помощью uVS.
Проблем пока не было с цифровым каталогом.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память » svchost.exe(1112) - модифицированный Win32/Corkow.A троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.01.2012 14:34:19

Цитата
DmitriyKZN пишет: Архив ZOO с паролем.

отправить в почту [email protected], [email protected]
--------
здесь нужен лог сканирования малваребайт

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.01.2012 13:09:33

Код
;uVS v3.73 script [http://dsrt.dyndns.org] zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\PSAGEHLP.FPL addsgn 79A853921D1F5241CB57569C1BC05286DDEE800362F575787AB7E1ACAFA25540CB0B3CA8C13F9C11E98C84F5457C49907D37E38DAA2535EC59675B5BE30ADD07 8 Corkow.A [NOD32] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZB4UCVTWVQ8.EXE addsgn A7679B19B9267FA082815AE2EF9DE68E607EFDB37D79E548F0E3FE6C25CAC8832317C3DC3BDD010B2B81C96B45C440BF89E4390750D9612D7883F22E92F27519 8 tr.Carberp delall %SystemDrive%\DOCUME~1\USER\LOCALS~1\TEMP\0.41451154825773473.EXE delall %SystemDrive%\DOCUME~1\USER\LOCALS~1\TEMP\MC28.TMP delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\_UNINST_29887717.BAT delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\_UNINST_90852754.BAT bl D7E3D4478ED77CE30A950063EC666ED2 168960 delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZB4UCVTWVQ8.EXE delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\PSAGEHLP.FPL delref HTTP://SEARCH.QIP.RU delref HTTP://WWW.SMAXI.NET chklst delvir deltmp delnfr restart

Код


;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\PSAGEHLP.FPL
addsgn 79A853921D1F5241CB57569C1BC05286DDEE800362F575787AB7E1ACAFA25540CB0B3CA8C13F9C11E98C84F5457C49907D37E38DAA2535EC59675B5BE30ADD07 8 Corkow.A [NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZB4UCVTWVQ8.EXE
addsgn A7679B19B9267FA082815AE2EF9DE68E607EFDB37D79E548F0E3FE6C25CAC8832317C3DC3BDD010B2B81C96B45C440BF89E4390750D9612D7883F22E92F27519 8 tr.Carberp

delall %SystemDrive%\DOCUME~1\USER\LOCALS~1\TEMP\0.41451154825773473.EXE
delall %SystemDrive%\DOCUME~1\USER\LOCALS~1\TEMP\MC28.TMP
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\_UNINST_29887717.BAT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\_UNINST_90852754.BAT
bl D7E3D4478ED77CE30A950063EC666ED2 168960
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZB4UCVTWVQ8.EXE
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\PSAGEHLP.FPL
delref HTTP://SEARCH.QIP.RU
delref HTTP://WWW.SMAXI.NET
chklst
delvir
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
----------
далее,
сделайте дополнительно проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.01.2012 12:42:57

как создавал загрузочный диск? в интерфейсе uVS или другим способом?

[ Как создать образ автозапуска? ]

Перейти