Дмитрий Б (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Оперативная память = explorer.exe(1916) - модифицированный Win32/TrojanDownloader.Carberp.AM

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 25.05.2013 13:01:53

Хм. вроде чисто.

Загрузите программу по ссылке
http://download.eset.com/special/ESETHfsReader.exe
Запустите ее, после запуска будет создана папка Files_TDL4 и файл HfsReader_Log.txt придоставьте их для анализа.

Спасибо.

Перейти

[ Закрыто] Оперативная память = explorer.exe(1916) - модифицированный Win32/TrojanDownloader.Carberp.AM

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 25.05.2013 12:51:07

Загрузите программу по ссылке
http://zalil.ru/34529898
Программу скачать, выполнить сканирование, в конце скана появится отчет. Предоставьте его для анализа. В программе ничего не удалять.Отчет будет в корне диска С в виде TDSSKiller.2.8.17.0_25.05.2013_11.50.21_log.txt

Перейти

[ Закрыто] Оперативная память = explorer.exe(1916) - модифицированный Win32/TrojanDownloader.Carberp.AM

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 25.05.2013 12:36:56

Вот это удалить

Цитата
Обнаруженные файлы: 3 C:\Documents and Settings\All Users\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято. C:\Documents and Settings\User\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято. C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

Цитата

Обнаруженные файлы: 3
C:\Documents and Settings\All Users\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\User\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

ПК перезагрузить. Что с проблемой?

Перейти

[ Закрыто] Оперативная память = explorer.exe(1916) - модифицированный Win32/TrojanDownloader.Carberp.AM

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 25.05.2013 12:03:21

Доброго времени суток!

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код
;uVS v3.77.16 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delall %Sys32%\COM\SVCHOST.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML delref HTTP://WEBALTA.RU delref HTTP://WEBALTA.RU/POISK exec MSIEXEC.EXE /X{EE24665C-844A-4489-9F11-70E41F4EE476} regt 3 regt 18 deltmp delnfr restart

Код

;uVS v3.77.16 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delall %Sys32%\COM\SVCHOST.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
exec MSIEXEC.EXE /X{EE24665C-844A-4489-9F11-70E41F4EE476}
regt 3
regt 18
deltmp
delnfr
restart

И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа

Перейти

[ Закрыто] Троян в оперативке Corkow.F, Подскажите что делать - очистка невозможна

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 25.05.2013 10:40:42

Далее выполните наши рекомендации пользователям
http://forum.esetnod32.ru/forum9/topic3998/

Перейти

Угроза скрытого канала ICPM-пакета

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 25.05.2013 10:39:46

Код
;uVS v3.77.16 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 exec "C:\PROGRAM FILES (X86)\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL exec MSIEXEC.EXE /I{192C5AC9-F693-4BEF-A98F-35EAAD534D57} exec "C:\PROGRAM FILES (X86)\PANDORA.TV\PANSERVICE\UNINS000.EXE" exec "C:\PROGRAM FILES (X86)\VKMUSIC 4\UNINS000.EXE" exec MSIEXEC.EXE /X{714CAD7C-2CBE-493D-8C96-F2D0461E113D} regt 18 deltmp delnfr restart

Код

;uVS v3.77.16 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

exec "C:\PROGRAM FILES (X86)\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec MSIEXEC.EXE /I{192C5AC9-F693-4BEF-A98F-35EAAD534D57}
exec "C:\PROGRAM FILES (X86)\PANDORA.TV\PANSERVICE\UNINS000.EXE"
exec "C:\PROGRAM FILES (X86)\VKMUSIC 4\UNINS000.EXE"
exec MSIEXEC.EXE /X{714CAD7C-2CBE-493D-8C96-F2D0461E113D}
regt 18
deltmp
delnfr
restart

И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

Перейти

[ Закрыто] Оперативная память = explorer.exe(3668) - модифицированный Win32/Corkow.F троянская программа - очистка невозможна

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 24.05.2013 00:55:30

Что с проблемой?
Вирус будет добавлен в базу при следующем обновлении.

Далее выполните наши рекомендации пользователям
http://forum.esetnod32.ru/forum9/topic3998/

Перейти

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 24.05.2013 00:23:20

Код
;uVS v3.77.16 script [http://dsrt.dyndns.org] ;Target OS: NTv6.0 zoo %SystemDrive%\USERS\SONY\APPDATA\ROAMING\MICROSOFT CORPORATION\XWTENCDD.RCP bl 7852755495723C8FE43AB28F9F84651B 246784 delall %SystemDrive%\USERS\SONY\APPDATA\ROAMING\MICROSOFT CORPORATION\XWTENCDD.RCP delref HTTP://SECURESEARCH.LAVASOFT.COM/?SOURCE=F439E2C0&TBP=HOMEPAGE&TOOLBARID=ADAWARETB&V=2_5&U=___USERID___ delref /QUITINFO:00000400;0000040C; delref /QUITINFO:00000418;00000408; delref /QUITINFO:000008C8;000008EC; delref /QUITINFO:000008E8;000008F8; zoo %SystemDrive%\PROGRAMDATA\SEARCH PROTECTION\_RUN.BAT delall %SystemDrive%\PROGRAMDATA\SEARCH PROTECTION\_RUN.BAT exec "C:\PROGRAM FILES\MCAFEE SECURITY SCAN\UNINSTALL.EXE" regt 3 regt 12 regt 18 deltmp delnfr restart

Код

;uVS v3.77.16 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0

zoo %SystemDrive%\USERS\SONY\APPDATA\ROAMING\MICROSOFT CORPORATION\XWTENCDD.RCP
bl 7852755495723C8FE43AB28F9F84651B 246784
delall %SystemDrive%\USERS\SONY\APPDATA\ROAMING\MICROSOFT CORPORATION\XWTENCDD.RCP
delref HTTP://SECURESEARCH.LAVASOFT.COM/?SOURCE=F439E2C0&TBP=HOMEPAGE&TOOLBARID=ADAWARETB&V=2_5&U=___USERID___
delref /QUITINFO:00000400;0000040C;
delref /QUITINFO:00000418;00000408;
delref /QUITINFO:000008C8;000008EC;
delref /QUITINFO:000008E8;000008F8;
zoo %SystemDrive%\PROGRAMDATA\SEARCH PROTECTION\_RUN.BAT
delall %SystemDrive%\PROGRAMDATA\SEARCH PROTECTION\_RUN.BAT
exec "C:\PROGRAM FILES\MCAFEE SECURITY SCAN\UNINSTALL.EXE"
regt 3
regt 12
regt 18
deltmp
delnfr
restart

И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда [email protected]

Перейти

[ Закрыто] блокирует сайт, антивирус блокирует мой сайт

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 23.05.2013 23:33:13

Только для Вас
http://forum.esetnod32.ru/forum33/topic3584/

Перейти

[ Закрыто] Оперативная память = explorer.exe(1936) - модифицированный Win32/Gapz.E троянская программа - очистка невозможна, Поямал трояна

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 23.05.2013 15:04:23

В программе все записи удалить. ПК перезагрузить.

Далее выполните наши рекомендации пользователям
http://forum.esetnod32.ru/forum9/topic3998/

Перейти