Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1404 1405 1406 1407 1408 1409 1410 1411 1412 1413 1414 ... 1784 След.
[ Закрыто] Оперативная память » explorer.exe(204) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна, Оперативная память » explorer.exe(204) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.11.2011 13:17:03
очистить кэш обновления в настройках,
и еще раз обновить базу.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Ошибка распаковки файлов при обновлении NOD32
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.11.2011 12:53:44
1. новый образ автозапуска uVS

2. антивир, похоже придется сносить в безопасном режиме, и переустановить в нормальном.

3. sfcfiles.dll вписывать на место либо в безопасном режиме, либо с Live.CD
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Ошибка распаковки файлов при обновлении NOD32
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.11.2011 11:37:55
так же восстановите в ручную данный файл
Цитата
(!) Отсутствует известный файл, рекомендуется восстановить файл: C:\WINDOWS\SYSTEM32\SFCFILES.DLL
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Ошибка распаковки файлов при обновлении NOD32
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.11.2011 11:35:53
закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

Код

;uVS v3.72 script [http://dsrt.dyndns.org]

addsgn 44F27A9A339DAF14A89AACD7EFC65205A573FCF906F41F8E5CA57DBD50D6712AF0F7285FAE333C0729E6737E20B51BF81BD05F6C5EDAD61FFF1153DCA1A57471 64 rt.Cidox.A

fixvbr C: 5
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
-------------
првоерить еще раз обновление баз,

если ошибка повторится,

еще раз очистить кэш обновления.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Оперативная память » explorer.exe(204) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна, Оперативная память » explorer.exe(204) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.11.2011 11:03:56
сделайте лог МБАМ (малваребайт)
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Оперативная память » explorer.exe(204) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна, Оперативная память » explorer.exe(204) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.11.2011 10:43:39
закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

Код

;uVS v3.72 script [http://dsrt.dyndns.org]

zoo %Sys32%\MSQASFZS.EXE
addsgn 79132211B9EBA0AE0BD4AED95BDC5205CD68F1F6899C2CA6088621ECB8287D4C23E01CA80B44F8092B68139346168EFF82BCA872AA254FD34777CC7AD346221B 8 new_vir

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ИЛЬЯ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
addsgn 79132211B9EBA08209D4AE82A44387B1D875037F0C36E2877AE81587C5228FB3DC6383DCFCD6652D5EB909D5E89DDC92802017F1AF84C5072EA797EF4E833A8D 8 Carberp

bl 703B219B544BD3DE1D234DA2BE3951B1 168448
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ИЛЬЯ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %Sys32%\MSQASFZS.EXE
chklst
delvir
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
regt 5
regt 18
czoo
restart

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Оперативная память » winlogon.exe(556) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.11.2011 10:06:01
создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
Перейти
Заблокирован доступ к рабочему столу Windows
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.11.2011 09:10:16
Цитата
haroshii пишет:
Вопрос:
помог бы описанный выше способ в моём случае? и вообще этот способ универсальный или нет? т.е можно ли его применять на другом залоченом компьютере?
просто хотелось бы раз и навсегда освоить механизм удаления похожей пакости и делать это самостоятельно
по образу автозапуска из под Live.CD лучше всего разбираться с винлокерами.
вариант с 22CC6C32.EXE не единственный,
есть и другие,
можно посмотреть специализированный форум по винлокам.
http://forum.virlab.info/
-----
чтобы освоить самостоятельно лечение Винлок, лучше разобраться с работой UVS и его возможностями при запуске Live.CD.
[ Как создать образ автозапуска? ]
Перейти
Заблокирован доступ к рабочему столу Windows
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.11.2011 09:04:47
в вашем случае было три зараженных файла:
1. %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\22CC6C32.EXE
этот файл стартовал через shell
Цитата
Полное имя                  D:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\22CC6C32.EXE
Ссылки на объект            
Ссылка                      HKLM\uvs_software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Shell                       D:\Documents and Settings\All Users\Application Data\22CC6C32.exe
2. зараженный userinit.exe (копия винлок)
3. зараженный диспетчер задач TASKMGR.EXE (копия винлок),
-------
просто замена в реестре параметра shell ничего бы не дала,
потому что стартует зараженный userinit,

в данном случае надо было заменить эти два системных файла: userinit.exe и taskmgr.exe (еще и в dllcache),
подходящими для данной системы,
и убрать из shell ссылку на 22CC6C32.EXE, оставить только explorer.exe
-----
тогда помогло бы.
[ Как создать образ автозапуска? ]
Перейти
Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна, че с этим делать?((
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.11.2011 06:32:22
проверьте систему с помощью eset_rescue_linux
http://forum.esetnod32.ru/forum9/topic1966/
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 1404 1405 1406 1407 1408 1409 1410 1411 1412 1413 1414 ... 1784 След.