Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Выбрать дату в календареВыбрать дату в календаре

[ Закрыто] Что делать если LiveCD не видит ничего, кроме себя?
возможно, здесь тот тип банера, который вносит исправление в таблицу разделов, поэтому диски недоступны.
поможет либо извлечение кода разблокировки, либо восстановление оригинальной partition table.
[ Закрыто] explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF, троянская программа - очистка невозможна
заражение было на второй системе (на D), но антивир на C видимо проверяет все загрузочные сектора на диске.

выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic751/

тему закрываем.
[ Закрыто] explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF, троянская программа - очистка невозможна
нескучный журнал у вас
[QUOTE]02.12.2011 9:10:48 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(4028) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна _T_-ПК\_T_ [/QUOTE]
похоже заражен был загрузчик на диске D, на него ESET ругался. А что у вас на диске D? тоже установлена система?

Имеет смысл сделать полную проверку диска, если Expiro у вас свободно гуляет.

+
сделайте дополнительно проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
Win32/TrojanDownloader.Carberp.AF
используйте обновленную версию Uninstaller  с поддержкой удаления 5 версии
http://download.eset.com/special/ESETUninstaller.exe
[ Закрыто] explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF, троянская программа - очистка невозможна
+ добавить лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
[ Закрыто] explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF, троянская программа - очистка невозможна
[b]выполнить скрипт в uVS[/b]
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

[code]

;uVS v3.73 script [http://dsrt.dyndns.org]

zoo E:\НА CD\ДЛЯ WIN\ДЛЯ ВЗЛОМА ТРИАЛЬНЫХ ПРОГ\TIMEBACK.EXE
addsgn 925277DA146AC1CC0B04504E334BDFFACE9A6C66196A8FE80FC583345791­709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E­0707F900 8 tr1

zoo %Sys32%\BETWINSERVICEVS.EXE
addsgn 1A7A5A9A5583158CF42B627DA804DE3E281275B5898F1D8B462AC29250D6­BD80EFDB0FDCC10016A5A0C58C1A8640C20BBB99E47220B9588A0477A4A6­810EA93B 8 betwimservices

delall %Sys32%\BETWINSERVICEVS.EXE
; delall E:\НА CD\ДЛЯ WIN\ДЛЯ ВЗЛОМА ТРИАЛЬНЫХ ПРОГ\TIMEBACK.EXE
fixvbr D: 6
deltmp
delnfr
restart

[/code]

перезагрузка, пишем о старых и новых проблемах.
Изменено: santy - 02.12.2011 09:54:32 (закоментил строку удаления с CD)
[ Закрыто] explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF, троянская программа - очистка невозможна
похоже, здесь уже и BETWIN влепили для удаленного доступа.
-----
[QUOTE]Полное имя C:\WINDOWS\SYSTEM32\BETWINSERVICEVS.EXE
Имя файла                   BETWINSERVICEVS.EXE
Тек. статус                 ВИРУС ПОДОЗРИТЕЛЬНЫЙ отключенный сервис в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ отключенный сервис в автозапуске
Размер                      254536 байт
Создан                      23.08.2011 в 23:25:31
Изменен                     30.09.2009 в 13:09:40
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               НАРУШЕНА, файл модифицирован или заражен
                           
Оригинальное имя            BeTwinService.exe
Версия файла                2.00 built by: WinDDK
Описание                    BeTwin Terminal Services
Производитель               ThinSoft Pte Ltd.
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цифровая подпись            Недействительна (файл поврежден/заражен)
                           
Доп. информация             на момент обновления списка
SHA1                        5A93D067693659DBDB7086B43333E6EACAD6EF12
MD5                         6A0B195EE9C51AE89922166705ADC5A5
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\BeTwinService\ImagePa­th
ImagePath                   System32\BeTwinServiceVS.exe
BeTwinService               тип запуска: Отключено (4)
[/QUOTE]
поговорить о uVS, Carberp, планете Земля
инфо к размышлению
http://pchelpforum.ru/f26/t78570/
[QUOTE]образ зараженный до лечения
активная система IPL C: 79D7DA3273882A67F5131AF99C1D7AB22950B693 (проходит по списку безопасных uVS)
Live.CD IPL C: 1A372EB4879DC8B2319153F1FB5F8DD343AB7CE6 (не проходит по безопасным uVS)
-------------
после лечения:
активная система IPL C: 79D7DA3273882A67F5131AF99C1D7AB22950B693 (ok)
Live.CD IPL C: 1822DD5ECD50527D15DA57881AEF4A2753079565 (ok)[/QUOTE]
[ Закрыто] Операционная Память
[b]выполнить скрипт в uVS[/b]
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

[code]

;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\A7MY5EFP7QI.EXE
addsgn 79132211B9EBA04603D4AE82A443C24FAC1F500876054CF110733843AF80­CB652317C364E55647C0B6C47C60B941C0A7ED67DDDE55DA93EF26A42F32­BF966073 8 tr.Carberp

bl A50C61B14423D1141496EC7392D81A94 172032
delall %SystemDrive%\DOCUMENTS AND SETTINGS\1\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\A7MY5EFP7QI.EXE
chklst
delvir
fixvbr C: 5
deltmp
delnfr
regt 5
restart

[/code]

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
Прием и передача данных с сайта teliacarriera.com через svchost.exe, Прием и передача данных с сайта teliacarriera.com через svchost.exe
[b]выполнить скрипт в uVS[/b]
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: меню - скрипты - выполнить скрипт из буфера обмена

[code]

;uVS v3.73 script [http://dsrt.dyndns.org]

deltmp
delnfr
regt 5
regt 18
restart

[/code]

перезагрузка, пишем о старых и новых проблемах.
-----------
сделайте очистку в МБАМ
http://forum.esetnod32.ru/forum9/topic682/

если проблема не решится,
сделайте сканирование с помощью tdsskiller
http://rghost.ru/32097421
лог добавить на форум