Win32/Carberp это семейство троянских программ, которые могут быть доставлены с помощью вредоносного кода, например, путем вариантов брешь в безопасности: JS / Blacole.Троян загружает другие Win32/Carberp компоненты для выполнения полезной нагрузки кодов, таких как кража банковских учетных данных онлайн и войдите в систему данные из множества других программных приложений, загрузки и выполнения произвольных файлов, экспорт установленных сертификатов, захват скриншотов и регистрация нажатий клавиш.
----------
Неплохое описание от Микрософт.
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Win32%2FCarberp

хорошо,
выполните наши рекомендации по безопасной работе
http://forum.esetnod32.ru/forum9/topic751/
тему закрываю.

С чем связан такой всплеск активности Carberp и количество пропусков (или пост_детектов) ESET NOD32?

сделайте лог малваребайт
http://forum.esetnod32.ru/forum9/topic682/

закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

[code]

;uVS v3.72 BETA 3 script [http://dsrt.dyndns.org]

addsgn A7679B1BB9724F720B5F3BFD9B37ED8CB03A010976A9A7D985C3C597925F­F460DDE83C01B7D0D1B7D47FD31613CEE08A7DDFE8075FE970A7D5FE196B­3AF9DD8C 8 Win32/Kryptik.VHP [NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\DIM\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 8041BA6E00512EF7451ABD4CA98A18AB 162816
delall %SystemDrive%\DOCUMENTS AND SETTINGS\DIM\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
chklst
delvir
deltmp
delnfr
regt 5
regt 18
restart

[/code]
перезагрузка, пишем о старых и новых проблемах.

наши рекомендации по безопасной работе в сети
http://forum.esetnod32.ru/forum9/topic751/
----
тема закрыта

закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

[code]

;uVS v3.72 BETA 3 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ТАТЬЯНА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
addsgn A7679B1BB9924E720BE76E3AE9FCEDFADA0371CE7405E05344FEA1F950D6­054410DE4A1A8ADCD8E1780D189E1FE549FAF054748655DA93E716BCD158­4CD6A936 8 Multi.Generic [Kaspersky]

bl A49C6E9EB177E17DB7492728D52ACDF7 162816
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ТАТЬЯНА\APPLICATION DATA\NETPROTOCOL.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ТАТЬЯНА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
chklst
delvir
delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
delall %SystemDrive%\PROGRAM FILES\VPETS\VPETS.EXE
deltmp
delnfr
regt 5
regt 18
czoo
restart

[/code]
перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
--------------------
+ сделайте лог малваребайт
http://forum.esetnod32.ru/forum9/topic682/

если есть возможность работы из под Live.CD (WinPe&uVS), то выполните следующую процедуру поиска:

1. в активной (предположительно зараженной системе) создайте файл сверки автозапуска,
в режиме uVS - руткиты - создать файл сверки (1-2мин)

[IMG]http://s013.radikal.ru/i322/1111/ed/0854ae33844f.jpg[/IMG]
сохраните на флэшку, или в каталог на жестком диске.

2. загрузитесь с Live CD и выполните запуск uVS (например с флэшки),
см здесь
http://forum.esetnod32.ru/forum6/topic2102/
выберите в окне start.exe вашу систему с каталога жесткого диска
загрузите uVS и выполните функцию "поиск скрытых и измененных объектов по файлу сверки.

[IMG]http://s017.radikal.ru/i403/1111/54/7d592bd6f560.jpg[/IMG]

3. после завершения этого действия сохраните (новый) полный образ автозапуска,
и добавьте его на форум.

[QUOTE]tankisttt пишет:
как название руткита узнать?[/QUOTE]
создайте образ автозапуска из под WinPe методом сверки. если будет выявлен руткит, тогда можно будет говорить о его наименовании.

тему закрываю.