Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Оперативная память » explorer.exe(1900) модифицированный Win32/TrojanDownloader.Carberp.AH, Help)

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 03.02.2012 00:52:56

Не можете просто ссылку оставить?

Удалить это:

Цитата
Обнаруженные параметры в реестре: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято. Объекты реестра обнаружены: 4 HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\|ServiceDll (Hijack.LanmanServer) -> Плохо: (%CommonProgramFiles%\microsoft shared\VBArdSvr.nco) Хорошо: (%SystemRoot%\System32\srvsvc.dll) -> Действие не было предпринято. Обнаруженные файлы: 1 C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

Цитата

Обнаруженные параметры в реестре: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.

Объекты реестра обнаружены: 4
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters|ServiceDll (Hijack.LanmanServer) -> Плохо: (%CommonProgramFiles%\microsoft shared\VBArdSvr.nco) Хорошо: (%SystemRoot%\System32\srvsvc.dll) -> Действие не было предпринято.

Обнаруженные файлы: 1
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

Правильно заданный вопрос - это уже половина ответа

Перейти

svchost.exe(1216) - модифицированный Win32/Corkow.A троянская программа, Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1800) модифицированный Win32/Corkow.A троянская программа очистка невозможна. [0:36:06] Grrr: Win32/Corkow.A

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 03.02.2012 00:39:01

Сделайте лог uVS
http://forum.esetnod32.ru/forum9/topic2687/

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память » explorer.exe(712) - модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 03.02.2012 00:35:48

Теперь все чисто
Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память » explorer.exe(1900) модифицированный Win32/TrojanDownloader.Carberp.AH, Help)

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 03.02.2012 00:30:24

Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!

Код
;;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU delref HTTP://WWW.MAIL.RU/CNT/5087 bl 295D19A6F49E3FF9773C75897EB4A401 180736 delmz %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FWVEI1FCHI8.EXE delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FWVEI1FCHI8.EXE delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\_UNINST_92823317.BAT delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\_UNINST_92823317.LNK deltmp delnfr restart

Код

;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref HTTP://WWW.MAIL.RU/CNT/5087
bl 295D19A6F49E3FF9773C75897EB4A401 180736
delmz %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FWVEI1FCHI8.EXE
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FWVEI1FCHI8.EXE
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\_UNINST_92823317.BAT
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\_UNINST_92823317.LNK
deltmp
delnfr
restart

И жмем Выполнить. После выполнения скрипта - ПК перезагрузится.
После перезагрузки сделать лог Malwarebytes и выложить сюда. Можно сделать быструю проверку, а не полную.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 03.02.2012 00:14:05

valeso,
вообще новую тему надо создавать

Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!

Код
;;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.0 zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\QQ59DN9VE.EXE bl 7B8027353F086E32B9AEA9586978A341 169984 delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\QQ59DN9VE.EXE deltmp delnfr czoo restart

Код

;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0

zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\QQ59DN9VE.EXE
bl 7B8027353F086E32B9AEA9586978A341 169984
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\QQ59DN9VE.EXE
deltmp
delnfr
czoo
restart

И жмем Выполнить. После выполнения скрипта - ПК перезагрузится.
В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес [email protected]. Если архив не появился, то сами архивируем папку ZOO, ставим пароль virus и отправляем на адрес.
После перезагрузки сделать лог Malwarebytes и выложить сюда. Можно сделать быструю проверку, а не полную.

Правильно заданный вопрос - это уже половина ответа

Перейти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 03.02.2012 00:02:46

Код
;;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 deltmp delnfr zoo %SystemDrive%\DOCUMENTS AND SETTINGS\НАСТЯ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\YJZ1OLEGVFK.EXE bl 75C691943D3AB724B5AC3FD510CFF7AE 180224 delall %SystemDrive%\DOCUMENTS AND SETTINGS\НАСТЯ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\YJZ1OLEGVFK.EXE czoo restart

Код

;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

deltmp
delnfr
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\НАСТЯ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\YJZ1OLEGVFK.EXE
bl 75C691943D3AB724B5AC3FD510CFF7AE 180224
delall %SystemDrive%\DOCUMENTS AND SETTINGS\НАСТЯ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\YJZ1OLEGVFK.EXE
czoo
restart

Правильно заданный вопрос - это уже половина ответа

Перейти

Webalta в качестве домашней страницы

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 02.02.2012 23:30:17

тож чисто. в папке с профилем Мозилы надо искать скрипт (js файл) и удалить его, затем очистить кэш в браузере и перезагрузиться

Правильно заданный вопрос - это уже половина ответа

Перейти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 02.02.2012 23:25:04

А вы не видели что у многих нужный лог есть?

Сделайте лог uVS
http://forum.esetnod32.ru/forum9/topic2687/

Правильно заданный вопрос - это уже половина ответа

Перейти

Webalta в качестве домашней страницы

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 02.02.2012 23:04:05

Все равно нету.
Лог этой программой сделайте - http://www.trendmicro.com/ftp/products/hijackthis/HijackThis.exe

Правильно заданный вопрос - это уже половина ответа

Перейти

Webalta в качестве домашней страницы

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 02.02.2012 22:50:58

в логе не видно webalta
делайте лог новой версией uVS - 3.74

Правильно заданный вопрос - это уже половина ответа

Перейти