Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.12.2011 20:14:36

Удалить это:

Цитата
Зараженные файлы: c:\program files\mozilla firefox\0.47190583895678995.exe (Trojan.Agent) -> No action taken. c:\documents and settings\Admin\application data\igfxtray.dat (Malware.Trace) -> No action taken. c:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> No action taken.

Правильно заданный вопрос - это уже половина ответа

Перейти

модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.12.2011 19:01:23

Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!

Код
;uVS v3.73 script [http://dsrt.dyndns.org] ; C:\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ALFD7TPEMEQ.EXE addsgn A7679B1BB91A4E720BE77C38F13CEFFADAD975639D05E087D34A9058075D7CF0B755C3DEB34163B6D40911EBB9E9B6907DB7BC5355DADA2CD262545C8606A9EE 16 a variant of Win32/Kryptik.XBA [NOD32] ; C:\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZEEBF0PNVAA.EXE addsgn 79132211B9EBA07A0AD4AE82A44157ED7601F1B2D2B81FF388639EFE505F3CB4759C86AFB7D0B1B6D47FD3A403FE3DF9F492684195533534D2885B47675D6073 16 Carberp bl E2A08D903D25B50DFF62DA37B2DE68E0 166912 bl A06D7B60BE9DC666C2BC9FD8A2B5FB77 150528 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ALFD7TPEMEQ.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZEEBF0PNVAA.EXE deltmp delnfr restart

Код

;uVS v3.73 script [http://dsrt.dyndns.org]

; C:\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ALFD7TPEMEQ.EXE
addsgn A7679B1BB91A4E720BE77C38F13CEFFADAD975639D05E087D34A9058075D7CF0B755C3DEB34163B6D40911EBB9E9B6907DB7BC5355DADA2CD262545C8606A9EE 16 a variant of Win32/Kryptik.XBA [NOD32]

; C:\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZEEBF0PNVAA.EXE
addsgn 79132211B9EBA07A0AD4AE82A44157ED7601F1B2D2B81FF388639EFE505F3CB4759C86AFB7D0B1B6D47FD3A403FE3DF9F492684195533534D2885B47675D6073 16 Carberp

bl E2A08D903D25B50DFF62DA37B2DE68E0 166912
bl A06D7B60BE9DC666C2BC9FD8A2B5FB77 150528
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ALFD7TPEMEQ.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZEEBF0PNVAA.EXE
deltmp
delnfr
restart

И жмем Выполнить. После выполнения скрипта ПК перезагрузится.
После перезагрузки сделать лог Malwarebytes и выложить сюда

Правильно заданный вопрос - это уже половина ответа

Перейти

Оперативная память explorer.exe троян, не могу удалить вирус

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.12.2011 18:39:24

Сделайте лог TDSSkiller

Цитата
Скачайте, распакуйте и запустите TDSSKiller: http://support.kaspersky.ru/faq/?qid=208636926 Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его. Файл C:\TDSSKiller.***_log.txt приложите в теме.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Пятое поколение продуктов ESET, Обсуждение новых функций, настройки, и исправлений 5-й версии продукта.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.12.2011 18:13:08

D-IMAN,
разве что BE версию после New Year)

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.12.2011 17:46:17

программу mbam можете удалить

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.12.2011 17:45:53

Все чисто. Дальше выполните рекомендации - http://forum.esetnod32.ru/forum9/topic751/

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.12.2011 17:31:17

удаляйте все что найдено. перезагрузка. делаем повторный лог mbam

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.12.2011 17:09:55

Код
;uVS v3.73 script [http://dsrt.dyndns.org] delref HTTP://QIP.RU delref HTTP://WWW.MAIL.RU/CNT/7823 ; C:\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ZYKS6PZPIVQ.EXE addsgn A7679B1BB91A4E720BE77C38F13CEFFADAD975639D05E087D34A9058075D7CF0B755C3DEB34163B6D40911EBB9E9B6907DB7BC5355DADA2CD262545C8606A9EE 16 a variant of Win32/Kryptik.XBA [NOD32] zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ZYKS6PZPIVQ.EXE bl E2A08D903D25B50DFF62DA37B2DE68E0 166912 delall %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ZYKS6PZPIVQ.EXE deltmp delnfr restart

Код

;uVS v3.73 script [http://dsrt.dyndns.org]

delref HTTP://QIP.RU
delref HTTP://WWW.MAIL.RU/CNT/7823
; C:\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ZYKS6PZPIVQ.EXE
addsgn A7679B1BB91A4E720BE77C38F13CEFFADAD975639D05E087D34A9058075D7CF0B755C3DEB34163B6D40911EBB9E9B6907DB7BC5355DADA2CD262545C8606A9EE 16 a variant of Win32/Kryptik.XBA [NOD32]
zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ZYKS6PZPIVQ.EXE
bl E2A08D903D25B50DFF62DA37B2DE68E0 166912
delall %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ZYKS6PZPIVQ.EXE
deltmp
delnfr
restart

И жмем Выполнить. ПК перезагрузится.
После перезагрузки сделать лог Malwarebytes и выложить сюда

Правильно заданный вопрос - это уже половина ответа

Перейти

win32/Dorkbot.B

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.12.2011 03:13:17

можете удалять. Нод переустановите

Правильно заданный вопрос - это уже половина ответа

Перейти

win32/Dorkbot.B

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.12.2011 02:24:59

удалить все что найдено. затем перезагрузка и делаем повторный лог

Правильно заданный вопрос - это уже половина ответа

Перейти