Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1402 1403 1404 1405 1406 1407 1408 1409 1410 1411 1412 ... 1784 След.
[ Закрыто] trojandownloader.carberp.af
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.12.2011 09:57:31
выполнить скрипт в uVS
копировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
меню - скрипты - выполнить скрипт из буфера обмена

Код

;uVS v3.72 script [http://dsrt.dyndns.org]

fixvbr C: 5
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
regt 5
regt 18
restart


перезагрузка, пишем о старых и новых проблемах.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] trojandownloader.carberp.af
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.12.2011 09:54:36
образ автозапуска перезалейте на http://rghost.ru
тема будет перемещена в раздел обнаружение вредоносного кода.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Оперативная память » winlogon.exe(556) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.12.2011 09:53:22
далее,
сделайте дополнительно проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Оперативная память » winlogon.exe(556) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.12.2011 09:52:05
выполнить скрипт в uVS
cкопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
меню - скрипты - выполнить скрипт из буфера обмена

Код

;uVS v3.72 script [http://dsrt.dyndns.org]

addsgn A7679B19B9221B24CCD1855322C87ECD258ACF09DE3D5A8085C3C5BCDB83891E10CC90A82B2DBC0A2B234E7D0016C229FE118F1AC23BF62CA0724DCD81067240 8 Spy.Shiz

zoo %SystemRoot%\APPPATCH\IPEWQMH.EXE
bl DF7291224F06D23D8CB05007799E1C4A 269504
delall %SystemRoot%\APPPATCH\IPEWQMH.EXE
chklst
delvir
delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
delall %SystemDrive%\PROGRAM FILES\VPETS\VPETS.EXE
deltmp
delnfr
regt 5
regt 12
regt 18
restart

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
Изменено: santy - 01.12.2011 09:52:27
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.12.2011 09:06:24
Эволюция Carberp
http://blog.eset.com/2011/11/21/evolution-of-win32carberp-going-deeper
[ Как создать образ автозапуска? ]
Перейти
Нашествие Carberp напоминает прошлогоднюю атаку Spy.Shiz
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.12.2011 08:15:53
похоже, Carberp пошел на спад, или "ответственные" за Carberp парни подсуетились и основательно оттестировали свой продукт, чтобы он не часто попадался на глазу антивирусам. и антивирусным брэндам так спокойнее. :).
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.11.2011 21:58:46
а еще на ВТО похоже. :)
-----------
Цитата
Полное имя                  C:\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VTOKRWPVCDM.EXE
Имя файла                   VTOKRWPVCDM.EXE
Тек. статус                 ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      167424 байт
Создан                      30.11.2011 в 20:30:21
Изменен                     30.11.2011 в 20:30:08
Атрибуты                    СИСТЕМНЫЙ  R/O  
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            Ap5wrfp1SYlb
Версия файла                Rvywms2GpItk
Версия продукта             6MMiZW3V
Описание                    GftahQmkIM
Продукт                     1GfF
Производитель               Nullsoft, Inc.
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
SHA1                        78C2BC09A0C6E270EDE706C54D0302E42203BC5C
MD5                         13676CFE771A82C0D2A5647744CAD9E2
                           
Ссылки на объект            
Ссылка                      C:\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP
                           
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.11.2011 21:53:57
Цитата
baa80 пишет:
но вот что мне еще нод выдал...
это не в ОЗУ, это карантин uVS
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic751/
тема закрыта.
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.11.2011 21:47:18
Carberp стал кидать в автозапуск несколько файлов (пока что попадают под одну сигнатуру - видимо близнецы)

Цитата
zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\STAR­T MENU\PROGRAMS\STARTUP\IGFXTRAY.EXE
zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\STAR­T MENU\PROGRAMS\STARTUP\VTOKRWPVCDM.EXE
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Модуль сканирования файлов, исполняемых при запуске системы Оперативная память » explorer.exe(3300)(2940) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна, Вирус!!!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.11.2011 21:38:21
SysInspector нам не поможет,
нужен образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 1402 1403 1404 1405 1406 1407 1408 1409 1410 1411 1412 ... 1784 След.