santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Оперативная память » svchost.exe(107) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна, опять выскочил этот вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.12.2011 11:51:44

+
сделайте дополнительно проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.12.2011 11:50:40

выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

Код
;uVS v3.73 script [http://dsrt.dyndns.org] delall E:\ИРИНА\DRACULA - LOVE KILLS CE RUS\DRACULA_LOVE_KILLS.EXE addsgn 79132211B9EBA07A0AD4AE82A44157ED7601F1B2D2B81FF388639EFE505F3CB4759C86AFB7D0B1B6D47FD3A403FE3DF9F492684195533534D2885B47675D6073 8 tr.Carberp zoo %SystemDrive%\DOCUMENTS AND SETTINGS\NEW\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\9HHKWKIID0C.EXE bl A06D7B60BE9DC666C2BC9FD8A2B5FB77 150528 delall %SystemDrive%\DOCUMENTS AND SETTINGS\NEW\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\9HHKWKIID0C.EXE chklst delvir deltmp delnfr restart

Код


;uVS v3.73 script [http://dsrt.dyndns.org]

delall E:\ИРИНА\DRACULA - LOVE KILLS CE RUS\DRACULA_LOVE_KILLS.EXE
addsgn 79132211B9EBA07A0AD4AE82A44157ED7601F1B2D2B81FF388639EFE505F3CB4759C86AFB7D0B1B6D47FD3A403FE3DF9F492684195533534D2885B47675D6073 8 tr.Carberp

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\NEW\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\9HHKWKIID0C.EXE
bl A06D7B60BE9DC666C2BC9FD8A2B5FB77 150528
delall %SystemDrive%\DOCUMENTS AND SETTINGS\NEW\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\9HHKWKIID0C.EXE
chklst
delvir
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] При открытии файлов пишет что не являются приложекнием win32, При открытии файлов пишет что не являются приложекнием win32

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.12.2011 20:54:31

все чисто,
тема закрыта.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/TrojanDownloader.Carberp.AD

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.12.2011 20:52:49

хорошо,
выполните рекомендации по безопасной работе
http://forum.esetnod32.ru/forum9/topic751/
тему закрываем

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/TrojanDownloader.Carberp.AD

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.12.2011 20:18:15

удалите все найденное,
перезагрузка,
новое сканирование МБАМ

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативня память explorer.exe(588) win32 trojandownloader.carberp.af

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.12.2011 19:59:13

значит чисто,
выполните рекомендации по безопасной работе
http://forum.esetnod32.ru/forum9/topic751/
тему закрываю.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.12.2011 19:57:36

выполните сканирование в ESET NOD32 только оперативной памяти.
лог сканирования добавить на форум.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.12.2011 19:56:10

а это зачем удалили?

Цитата
19:27:36.0720 5580 HKLM\SYSTEM\ControlSet001\services\FsUsbExDisk - will be deleted on reboot 19:27:36.0736 5580 HKLM\SYSTEM\ControlSet002\services\FsUsbExDisk - will be deleted on reboot 19:27:36.0766 5580 C:\Windows\system32\FsUsbExDisk.SYS - will be deleted on reboot

просто неподписанный файл.
http://www.file.net/process/fsusbexdisk.sys.html

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативня память explorer.exe(588) win32 trojandownloader.carberp.af

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.12.2011 19:26:01

Код
;uVS v3.73 script [http://dsrt.dyndns.org] delref HTTP://WEBALTA.RU delref HTTP://SEARCH.QIP.RU deltmp delnfr restart

перезагрузка, пишем о старых и новых проблемах.
+
Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.12.2011 19:22:28

возможно Expiro некорректно пролечился,

Цитата
14.12.2011 1:32:36 Защита в режиме реального времени файл C:\Windows\uninst.vir Win32/Expiro.NAB вирус очищен - изолирован Сергей-ПК\Сергей Событие произошло в новом файле, созданном следующим приложением: C:\Users\Сергей\AppData\Local\Temp\E6A8.tmp.

желательно так полный скан системы сделать, и убедиться, что не осталось следов Expiro.

[ Как создать образ автозапуска? ]

Перейти