Дмитрий Б (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Оперативная память » svchost.exe(912) модифицированный Win32/Carberp.A троянская программа

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 24.11.2011 21:27:55

В программе которую скачали выше, запускаем еще раз, только теперь Меню Скрипт выполнить скрипт находящийся в буфере обмена

И вставляем текст скрипта

ПЕРЕД ВЫПОЛНЕНИКМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!

Код
;uVS v3.72 script [http://dsrt.dyndns.org] fixvbr C: 5 deltmp delnfr restart

И жмем выполнить.

ПК перезагрузится.

Перейти

[ Закрыто] win32/Dorkbot.B в оперативной памяти (winlogon.exe) очистка невозможна

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 24.11.2011 21:22:02

Код
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\KWPWPG.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\LSASS.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\XXPWPT.EXE delall %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\SESNAESTBRE.EXE delall %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\SESNAESTTOO.EXE delall E:\САША\САША\САШАOH10.EXE zoo %SystemDrive%\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE bl 0EA8529B45B2D02BFE8DDEF94ABC283E 1892352 delall %SystemDrive%\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\KAKAO4\GUZA.EXE bl DDE8FC288D3A0471D7E9A8631E76A9E9 57344 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\KAKAO4\GUZA.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\PICKAVAMMATERINA\HDZ.EXE bl 5A52D70D6DC3F00439C7E58B4CD01E49 57344 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\PICKAVAMMATERINA\HDZ.EXE bl E90AB11E9276357EA3DE79D51615FCD1 787241 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS.0\ДОКУМЕНТЫ\TNOD_[TFILE.RU]\TNOD-1.4.1.0-FINAL-SETUP.EXE regt 1 regt 2 regt 3 regt 7 regt 18 deltmp delnfr restart

Код

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\KWPWPG.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\LSASS.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\XXPWPT.EXE
delall %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\SESNAESTBRE.EXE
delall %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\SESNAESTTOO.EXE
delall E:\САША\САША\САШАOH10.EXE
zoo %SystemDrive%\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE
bl 0EA8529B45B2D02BFE8DDEF94ABC283E 1892352
delall %SystemDrive%\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\KAKAO4\GUZA.EXE
bl DDE8FC288D3A0471D7E9A8631E76A9E9 57344
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\KAKAO4\GUZA.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\PICKAVAMMATERINA\HDZ.EXE
bl 5A52D70D6DC3F00439C7E58B4CD01E49 57344
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\PICKAVAMMATERINA\HDZ.EXE
bl E90AB11E9276357EA3DE79D51615FCD1 787241
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS.0\ДОКУМЕНТЫ\TNOD_[TFILE.RU]\TNOD-1.4.1.0-FINAL-SETUP.EXE
regt 1
regt 2
regt 3
regt 7
regt 18
deltmp
delnfr
restart

И жмем выполнить.

ПК перезагрузится.
В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда [email protected]

Спасибо.

Перейти

[ Закрыто] троян в оперативке

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 24.11.2011 21:17:23

Код
;uVS v3.72 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl AE2649B21810042C0FDB696346076964 158720 delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delref HTTP://QIP.RU delref HTTP://QIP.RU/ delref HTTP://SEARCH.QIP.RU regt 1 regt 2 regt 3 regt 7 regt 18 deltmp delnfr restart

Код

;uVS v3.72 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl AE2649B21810042C0FDB696346076964 158720
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delref HTTP://QIP.RU
delref HTTP://QIP.RU/
delref HTTP://SEARCH.QIP.RU
regt 1
regt 2
regt 3
regt 7
regt 18
deltmp
delnfr
restart

Перейти

[ Закрыто] tr.Carberp (2)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 24.11.2011 21:02:11

Закрыть браузер и выполнить скрипт.

Цитата
;uVS v3.72 script [http://dsrt.dyndns.org] deltmp delnfr

Перейти

[ Закрыто] Оперативная память winlogon.exe(652) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна, Нужна помощь в удалении вируса

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 24.11.2011 20:06:18

Цитата
;uVS v3.72 script [http://dsrt.dyndns.org] zoo %SystemRoot%\APPPATCH\KAUDOBV.EXE bl E6D53330EF4F2BFBDFCB26A850D6D38A 267136 delall %SystemRoot%\APPPATCH\KAUDOBV.EXE regt 2 regt 1 regt 3 regt 7 regt 18 deltmp delnfr restart

Перейти

Конфликт ESS 5 и программы Frost

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 24.11.2011 17:14:51

А может проще будет исключить программу из скана?
В настройках - Интернет и электронная почта - Фильтрация протоколов - Исключенные приложения - кнопка Добавить и добавить программу.

Перейти

[ Закрыто] tr.Carberp (2)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 24.11.2011 17:09:34

Цитата
zubr8 пишет: И почему ESS и малваребайт говорят, что всё нормально

Но вот как раз 1 и сказал ва что все не нормально!
Потому и вы собственно тут и оказались!

Выполняйте и сообщите о результате.

Перейти

ERAC показывает вирус в d:\system volume information\_restore {...}

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 24.11.2011 17:07:51

Код
;uVS v3.72 script [http://dsrt.dyndns.org] zoo %Sys32%\LRBCLQL.DLL sreg delref %Sys32%\LRBCLQL.DLL areg

И жмем выполнить.

ПК перезагрузится.
В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда [email protected]
Спасибо.

Выполнить новый лог!

Перейти

[ Закрыто] Carberp.a и Carperp.af, 100% загрузка процессора

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 24.11.2011 15:18:27

Окей, выполнить

если вы используете Windows XP
установите сервис-пак SP3 + все последующие критические обновления для операционной системы.

Установите Internet Explorer 8
скачать отсюда
http://www.microsoft.com/rus/windows/internet-explorer/default.aspx

если установлена Java, обновить ее до текущей версии
скачать отсюда
http://www.java.com/ru/download/manual.jsp

обновите ПО:
Adobe Flash Player отсюда
http://get.adobe.com/ru/flashplayer/

Adobe Acrobat Reader
http://get.adobe.com/reader/

Тема закрыта.

Изменено: zloyDi - 24.11.2011 15:18:42

Перейти

[ Закрыто] вирус оперативная память explore.exe(708), Модифицированный Win32/TrojanDownloader.Carberp.AF - очистка невозможна

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 24.11.2011 15:04:22

Код
;uVS v3.72 script [http://dsrt.dyndns.org] delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl BC8A788BF9FBFCDF68F0A8477D608A06 170496 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delref HTTP://WEBALTA.RU delref HTTP://WEBALTA.RU/POISK delref HTTP://WWW.MAIL.RU/CNT/7823 regt 1 regt 2 regt 3 regt 7 regt 14 regt 18 deltmp delnfr restart

Код

;uVS v3.72 script [http://dsrt.dyndns.org]

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl BC8A788BF9FBFCDF68F0A8477D608A06 170496
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
delref HTTP://WWW.MAIL.RU/CNT/7823
regt 1
regt 2
regt 3
regt 7
regt 14
regt 18
deltmp
delnfr
restart

Перейти