Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи Арвид
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 636 637 638 639 640 641 642 643 644 645 646 ... 673 След.
[ Закрыто] explorer.exe(152) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна, троян в оперативной памяти
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 29.11.2011 11:29:05
В программе которую скачали выше, запускаем еще раз, только теперь Меню Скрипт выполнить скрипт находящийся в буфере обмена
И вставляем текст скрипта:

Код
;uVS v3.72 script [http://dsrt.dyndns.org]

fixvbr C: 5
deltmp
delnfr
restart


И жмем выполнить. ПК перезагрузится.

Также создать и выложить лог - http://forum.esetnod32.ru/forum9/topic682/
Правильно заданный вопрос - это уже половина ответа
Перейти
[ Закрыто] Прошу помощи, TrojanDownloader.Carberp.AF
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 29.11.2011 11:26:01
В программе которую скачали выше, запускаем еще раз, только теперь Меню Скрипт выполнить скрипт находящийся в буфере обмена
И вставляем текст скрипта:

Код
;uVS v3.72 script [http://dsrt.dyndns.org]

fixvbr C: 5
deltmp
delnfr
restart


И жмем выполнить. ПК перезагрузится.

Также создать и выложить лог - http://forum.esetnod32.ru/forum9/topic682/
Правильно заданный вопрос - это уже половина ответа
Перейти
поговорить о uVS, Carberp, планете Земля
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 29.11.2011 07:20:20
Цитата
santy пишет:
вот такое состояние системы надо рассмотреть из под WinPe&uVS
нету пока такого счастья:)
Цитата
santy пишет:
используй Live.CD на базе WinPE 3.1 чтобы работала проверка по цифровому каталогу
встроенный uVS пару раз выдавал ошибку подключения реестра. запустил с этого же LiveCD версию 3.72, с третьей попытки подключился удачно к системе. делал файл сверки, ничего нового не дало
Изменено: Арвид - 29.11.2011 07:23:29
Правильно заданный вопрос - это уже половина ответа
Перейти
поговорить о uVS, Carberp, планете Земля
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 29.11.2011 06:49:14
заново пришлось заразиться:) КИС и не пикнул. сделал образ автозапуска с LiveCD. в системе содержимое диска С все также прячется
Правильно заданный вопрос - это уже половина ответа
Перейти
[ Закрыто] Win32/Corkow.A и Win32/Carberp.A, нод сообщает о двух троянах
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 29.11.2011 06:39:14
Ну вы уже удалили все что можно:)
Еще вот это можно удалить:
Цитата
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­Ext\Settings\{1630669F-9D0C-4F0B-8AA9-10DE8BEE1755} (PUP.MultiSearchBox) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­Ext\Stats\{1630669F-9D0C-4F0B-8AA9-10DE8BEE1755} (PUP.MultiSearchBox) -> Not selected for removal.
и новый лог mbam пожалуйста сделайте
Изменено: Арвид - 29.11.2011 06:39:42
Правильно заданный вопрос - это уже половина ответа
Перейти
поговорить о uVS, Carberp, планете Земля
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 29.11.2011 06:21:41
Цитата
santy пишет:
То что Каспер не видит, ничего удивительного, нет в базах.
в том то и дело что есть. он при первом натравлении он выдал - Обнаружено: Trojan-Spy.Win32.Carberp.bnb
а потом уже тупо файл не видел как опасный
Цитата
santy пишет:
А содержимое проявляется обратно, после удаления Carberp?
ага. после ребута вернулось все на свои места
Цитата
santy пишет:
т.е. скрытие содержимого не за счет изменения атрибутов папок и файлов?
неа. они были скрыты как руткиты скрывают себя)
Правильно заданный вопрос - это уже половина ответа
Перейти
поговорить о uVS, Carberp, планете Земля
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 29.11.2011 06:04:39
интересный мне экземпляр попался - спрятал всю инфу на системном размере. папки не скрыты, они просто не отображаются ни в каких ФМ. зато через командную строку можно увидеть:)
кстати, поставил KIS и обновил его базы - он сначала увидел Carberp, попытался вылечить, но неудачно. после этой попытке прямое натравление на IGFXTRAY.EXE ничего не давало - файл не заражен говорит  :D
Правильно заданный вопрос - это уже половина ответа
Перейти
[ Закрыто] Win32/Corkow.A и Win32/Carberp.A, нод сообщает о двух троянах
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 29.11.2011 05:19:13
Запускаем uVS еще раз, только теперь Меню Скрипт выполнить скрипт находящийся в буфере обмена
И вставляем текст скрипта
ПЕРЕД ВЫПОЛНЕНИКМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!

Код
;uVS v3.72 script [http://dsrt.dyndns.org]

delref %SystemDrive%\DOCUMENTS AND SETTINGS\SKIF\APPLICATION DATA\LSASS.EXE
; C:\DOCUMENTS AND SETTINGS\SKIF\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
addsgn 79132211B9EBA0E608D4AE3A69C002442507ADD4006FF7867A3C9635C5168DB3DC41F097B54095596A800D1A46E9B605F44ADC8FAA25E7A7B80F58D0388FB737 8 CarberpNew

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\SKIF\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 757CE39F439D401BAA6281E741D824DD 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\SKIF\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delref %SystemDrive%\DOCUME~1\SKIF\LOCALS~1\TEMP\ESIHDRV.SYS
zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\ZTAEXT.PT3
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\ZTAEXT.PT3
regt 1
regt 2
regt 3
regt 7
regt 13
regt 14
regt 20
regt 18
regt 12
deltmp
delnfr
restart


И жмем выполнить. ПК перезагрузится.
В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда [email protected]
Также создать и выложить лог - http://forum.esetnod32.ru/forum9/topic682/
Пишем о старых и новых проблемах
Правильно заданный вопрос - это уже половина ответа
Перейти
[ Закрыто] Win32/Corkow.A и Win32/Carberp.A, нод сообщает о двух троянах
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 29.11.2011 04:55:03
такой лог пожалуйста изготовьте - http://forum.esetnod32.ru/forum9/topic2687/
Правильно заданный вопрос - это уже половина ответа
Перейти
[ Закрыто] Win32/Carberp.A троянская программа
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 29.11.2011 03:01:11
это нормально. удалять не нужно. система чистая
Правильно заданный вопрос - это уже половина ответа
Перейти
Пред. 1 ... 636 637 638 639 640 641 642 643 644 645 646 ... 673 След.