santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Win32/TrojanDownloader.Carberp.AD, SOS! троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.01.2012 10:40:50

выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

Код
;uVS v3.73 script [http://dsrt.dyndns.org] deltmp delnfr regt 12 regt 13 regt 18 restart

перезагрузка, пишем о старых и новых проблемах.
---------
пробуем обновить базы,
если не будет обновление баз, то очистить кэш обновления, и повторить обновление.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/TrojanDownloader.Carberp.AD, SOS! троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.12.2011 19:31:34

проверьте дополнительно систему с помощью Malwarebytes

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/TrojanDownloader.Carberp.AD, SOS! троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.12.2011 18:20:34

Код
;uVS v3.73 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\DELL\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ISAYKTBTDGM.EXE addsgn A7679B19B946C7776374ECB14D8DEE56A80A902889FA1E3D6D957D808AD671C17396CA12CA54C8A57CC28DDAAE271C22549A308D4096E06E2D56E1CF4E43CAF0 8 Carberp delref %SystemDrive%\DOCUMENTS AND SETTINGS\DELL\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL bl B0192364771C5AADA24B164552513E2C 169472 delall %SystemDrive%\DOCUMENTS AND SETTINGS\DELL\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ISAYKTBTDGM.EXE chklst delvir delref HTTP://WEBALTA.RU delref HTTP://SEARCH.QIP.RU deltmp delnfr restart

Код


;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\DELL\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ISAYKTBTDGM.EXE
addsgn A7679B19B946C7776374ECB14D8DEE56A80A902889FA1E3D6D957D808AD671C17396CA12CA54C8A57CC28DDAAE271C22549A308D4096E06E2D56E1CF4E43CAF0 8 Carberp

delref %SystemDrive%\DOCUMENTS AND SETTINGS\DELL\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
bl B0192364771C5AADA24B164552513E2C 169472
delall %SystemDrive%\DOCUMENTS AND SETTINGS\DELL\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ISAYKTBTDGM.EXE
chklst
delvir
delref HTTP://WEBALTA.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Синий экран смерти ....Оперативная память » explorer.exe(1164) - модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна, Eset smart security 4 Обнаружил вот это.когда включаешь какую-нибудь игру появляется синий экран смерти.мне кажется что вся проблема в этом вирусе.как убрать этот синий экран смерти?заранее спасибо!

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.12.2011 15:20:41

Код
;uVS v3.73 script [http://dsrt.dyndns.org] delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE delall %SystemDrive%\PROGRAM FILES\ASK.COM\GENERICASKTOOLBAR.DLL delall %SystemDrive%\PROGRAM FILES\ASK.COM\UPDATETASK.EXE delall %SystemDrive%\PROGRAM FILES\ASK.COM\UPDATER\UPDATER.EXE delref HTTP://HOME.SWEETIM.COM delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE delall %SystemDrive%\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.10\BH\FACEMOODS.DLL delall %SystemDrive%\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.10\FACEMOODSTLBR.DLL deltmp delnfr restart

Код


;uVS v3.73 script [http://dsrt.dyndns.org]

delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE
delall %SystemDrive%\PROGRAM FILES\ASK.COM\GENERICASKTOOLBAR.DLL
delall %SystemDrive%\PROGRAM FILES\ASK.COM\UPDATETASK.EXE
delall %SystemDrive%\PROGRAM FILES\ASK.COM\UPDATER\UPDATER.EXE
delref HTTP://HOME.SWEETIM.COM
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemDrive%\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.10\BH\FACEMOODS.DLL
delall %SystemDrive%\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.10\FACEMOODSTLBR.DLL
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.12.2011 12:58:24

Цитата
Dizel пишет: но нагрузка на RAM 39%> это нормально?

сделайте новый образ автозапуска в uVS

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.12.2011 08:33:52

Код
;uVS v3.73 script [http://dsrt.dyndns.org] zoo %SystemDrive%\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.10\FACEMOODSSRV.EXE addsgn 988C1F523E294C9A82DFAEB1DB5C120525013B1EB403E0870CA62D37A45F4F1ADC02C3157D5516073B0989E75F5249713BDB4BF64C9EB0A77B7F2D3A4F1F6673 8 facemood delall %SystemDrive%\USERS\836D~1\APPDATA\LOCAL\TEMP\A107D8F6-C66A-4FF3-93CA-2C3BC357C18E delall %SystemDrive%\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.10\FACEMOODSSRV.EXE addsgn A7679B19B926F5360BD4AEB0291441046866AAF7C41E48F5D18A083154837E4C23178274FC159E8820410DD2F23F1C367E17C3B85497082D689B5B3AEB466073 8 Carberp.AD [NOD32] zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\AK4S6XZALB8.EXE bl 6BD4D4970B9DA51DAC81ED7A99D95795 166400 delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\AK4S6XZALB8.EXE chklst delvir delref HTTP://START.FACEMOODS.COM/?A=BF2&F=2 deltmp delnfr restart

Код


;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.10\FACEMOODSSRV.EXE
addsgn 988C1F523E294C9A82DFAEB1DB5C120525013B1EB403E0870CA62D37A45F4F1ADC02C3157D5516073B0989E75F5249713BDB4BF64C9EB0A77B7F2D3A4F1F6673 8 facemood

delall %SystemDrive%\USERS\836D~1\APPDATA\LOCAL\TEMP\A107D8F6-C66A-4FF3-93CA-2C3BC357C18E
delall %SystemDrive%\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.10\FACEMOODSSRV.EXE
addsgn A7679B19B926F5360BD4AEB0291441046866AAF7C41E48F5D18A083154837E4C23178274FC159E8820410DD2F23F1C367E17C3B85497082D689B5B3AEB466073 8 Carberp.AD [NOD32]

zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\AK4S6XZALB8.EXE
bl 6BD4D4970B9DA51DAC81ED7A99D95795 166400
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\AK4S6XZALB8.EXE
chklst
delvir
delref HTTP://START.FACEMOODS.COM/?A=BF2&F=2
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.

[ Как создать образ автозапуска? ]

Перейти

банер антивирусы и ekrn.exe, ошибка установки

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.12.2011 19:58:43

ZloyDi, посмотри еще этот файл
-------

Цитата
Полное имя C:\USERS\СЕРГЕЙ\APPDATA\ROAMING\ATHEROS.EXE Имя файла ATHEROS.EXE Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске www.virustotal.com Хэш НЕ найден на сервере. Удовлетворяет критериям ЛИШНЕЕ В WINLOGON\SHELL SHELL: EXPLORER.EXE,C:\USERS\СЕРГЕЙ\APPDATA\ROAMING\ATHEROS.EXE Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Размер 79872 байт Создан 25.12.2011 в 19:53:56 Изменен 25.12.2011 в 19:53:59 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Оригинальное имя Sequel.exe Версия файла 1.5 Описание Gild Loses Duck Spur Poe Skull Производитель Pinnacle Systems Комментарий Being Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов Автозапуск Неизвестный файл использует ключ реестра часто используемый вирусами Доп. информация на момент обновления списка SHA1 D419EB1C76C8AE87B5ACF4E7E590DC37FCD153F3 MD5 CAE0ACEC11B796232508477531B265CF Ссылки на объект Ссылка HKEY_USERS\S-1-5-21-2155677434-94346687-2512564130-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Atheros Atheros C:\Users\Сергей\AppData\Roaming\Atheros.exe Ссылка HKEY_USERS\S-1-5-21-2155677434-94346687-2512564130-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell Shell Explorer.exe,C:\Users\Сергей\AppData\Roaming\Atheros.exe

Цитата

Полное имя C:\USERS\СЕРГЕЙ\APPDATA\ROAMING\ATHEROS.EXE
Имя файла ATHEROS.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

www.virustotal.com Хэш НЕ найден на сервере.

Удовлетворяет критериям
ЛИШНЕЕ В WINLOGON\SHELL SHELL: EXPLORER.EXE,C:\USERS\СЕРГЕЙ\APPDATA\ROAMING\ATHEROS.EXE

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 79872 байт
Создан 25.12.2011 в 19:53:56
Изменен 25.12.2011 в 19:53:59
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя Sequel.exe
Версия файла 1.5
Описание Gild Loses Duck Spur Poe Skull
Производитель Pinnacle Systems
Комментарий Being

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов
Автозапуск Неизвестный файл использует ключ реестра часто используемый вирусами

Доп. информация на момент обновления списка
SHA1 D419EB1C76C8AE87B5ACF4E7E590DC37FCD153F3
MD5 CAE0ACEC11B796232508477531B265CF

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-2155677434-94346687-2512564130-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Atheros
Atheros C:\Users\Сергей\AppData\Roaming\Atheros.exe

Ссылка HKEY_USERS\S-1-5-21-2155677434-94346687-2512564130-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Shell Explorer.exe,C:\Users\Сергей\AppData\Roaming\Atheros.exe

Изменено: santy - 29.12.2011 19:59:09

[ Как создать образ автозапуска? ]

Перейти

ОП > explorer.exe(3288) Win32/Corkow.A ОП > explorer.exe(3304) Win32/Corkow.A

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.12.2011 14:31:27

Цитата
grF пишет: директории {35CEC8A3-2BE6-11D2-8773-92E220524153} не существует.

а других подобных подразделов нет в разделе

Цитата
HKEY_CURRENT_USER\Software\Classes\CLSID

Изменено: santy - 29.12.2011 14:31:53

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Не могу удалить carberp.A, Вирус в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.12.2011 23:09:22

хорошо,
выполните наши рекомендации по безопасной работе
http://forum.esetnod32.ru/forum9/topic751/

[ Как создать образ автозапуска? ]

Перейти

Eplorer.exe(2204) - модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.12.2011 22:39:13

georgi, будьте добры,
прикрепите этот лог как файл к вашему сообщению.

Изменено: santy - 28.12.2011 22:39:26

[ Как создать образ автозапуска? ]

Перейти