Решена - Как вылечить систему от Win32/TrojanDownloader.Carberp.AD

Newborn · 3 дек 2011

Здравствуйте,
Nod 32 выдаёт
Оперативная память » explorer.exe(1620)
модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна

прикрепляю ссылку на образ в uVS
http://exfile.ru/236090

сканирование HijackThis http://webfile.ru/5706276
avz4 http://zalil.ru/32186937

Очень надеюсь на Вашу помощь! Система уже не реально тормозит. Работать не возможно!

[MOD="Nod"]
УВАЖАЕМЫЕ ПОСЕТИТЕЛИ ФОРУМА!

Если вы вдруг обнаружили у себя этот вирус.

Для успешного удаления этого вируса, вам необходимо выполнить следующее:

1. Сделайте образ автозупуска (как сделать образ автозапуска)
2. Загрузить сделанный образ на файлообменник, (например exfile.ru или rghost.ru),
3. Создать НОВУЮ тему в разделе по борьбе с вирусами с кратким описанием проблемы и ссылкой на образ.

После детального анализа "образа автозапуска", Вам будет предложен скрипт лечения.
[/MOD]

oleg · 3 дек 2011

Анализирую, ждите.

oleg · 3 дек 2011

Выполните скрипт в uVS:

- Откройте папку с UVS и запустите файл start.exe.
- В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Скопируйте скрипт подготовленный для вас консультантом.
- Выберите меню "Скрипт" -> Выполнить скрипт находящийся в буфере обмена..."
- Нажмите на кнопку "Выполнить" и дождитесь завершения работы программы.
Код:
;uVS v3.71 script [[url]http://dsrt.dyndns.org][/url]

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\МЕЛОМАНКА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IRS1ZKJA2L4.EXE
delref [url]HTTP://SAMLAB.WS[/url]
delref [url]HTTP://WWW.MICROSOFT.COM/ISAPI/REDIR.DLL?PRD=IE&AR=IESEARCH[/url]
delref [url]HTTP://WWW.MICROSOFT.COM/ISAPI/REDIR.DLL?PRD=IE&PVER=5.5&AR=MSNHOME[/url]
delref HTTP://WWW.MICROSOFT.COM/ISAPI/REDIR.DLL?PRD={SUB_PRD}&CLCID={SUB_CLSID}&PVER={SUB_PVER}&AR=HOME
delref [url]HTTP://WWW.SMAXI.NET[/url]
delref [url]HTTP://WWW.SYMANTEC.COM/ENTERPRISE/SECURITY_RESPONSE/INDEX.JSP[/url]
delref %SystemDrive%/DOCUMENTS AND SETTINGS/МЕЛОМАНКА/LOCAL SETTINGS/APPLICATION DATA/AKAMAI/NETSESSION_WIN.EXE
delall .\\DISPEA.DLL
deltmp
delnfr
restart

oleg · 3 дек 2011

1. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически   закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера   подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
 ExecuteRepair(9);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.

2. Сделайте новые логи AVZ.

3. Cделайте лог MBAM и дайте ссылку на файл лога.

Newborn · 3 дек 2011

новый лог avz http://zalil.ru/32187785
лог MBAM http://zalil.ru/32187999

oleg · 3 дек 2011

Удалите в MBAM следующие строки:

Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\TMAgency (Adware.TMAagent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Vkontakte (Trojan.Fkantakte) -> No action taken.

Зараженные папки:
c:\documents and settings\меломанка\application data\winxrar (Trojan.Agent) -> No action taken.

Зараженные файлы:
c:\documents and settings\меломанка\application data\Sun\Java\deployment\cache\6.0\35\3de516e3-79395a1f (Trojan.Agent) -> No action taken.
c:\documents and settings\меломанка\application data\Sun\Java\deployment\cache\6.0\60\3f871fc-6da73b6d (Trojan.Agent) -> No action taken.
c:\program files\winmpg videoconvert\ffpq.ocx (Spyware.Passwords) -> No action taken.
c:\WINDOWS\green fields.scr (Malware.Packer.Gen) -> No action taken.
c:\WINDOWS\system32\calc.exe (Trojan.Dropper) -> No action taken.
d:\RECYCLER\s-1-5-21-1606980848-842925246-839522115-1003\Di12\alcohol120_activator.exe (RiskWare.Tool.CK) -> No action taken.
d:\RECYCLER\s-1-5-21-1606980848-842925246-839522115-1003\Di18\blazevideo blazedvd professional v5.0.0.1 (официальная русская версия)\Crack\blazevideoblazedvdprofessionalv5001_crack.exe (RiskWare.Tool.CK) -> No action taken.
d:\RECYCLER\s-1-5-21-1606980848-842925246-839522115-1003\di8.0_rus\Keygen.exe (RiskWare.Tool.HCK) -> No action taken.
c:\WINDOWS\system32\d3d10_1.dll (Trojan.FakeAlert) -> No action taken.
c:\documents and settings\меломанка\application data\igfxtray.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> No action taken.
c:\documents and settings\меломанка\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
c:\documents and settings\меломанка\application data\winxrar\dir.png (Trojan.Agent) -> No action taken.
c:\documents and settings\меломанка\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\меломанка\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\меломанка\application data\winxrar\key (Trojan.Agent) -> No action taken.
c:\documents and settings\меломанка\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
c:\documents and settings\меломанка\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\меломанка\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
c:\documents and settings\меломанка\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\меломанка\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\меломанка\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
c:\documents and settings\меломанка\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
c:\documents and settings\меломанка\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
c:\documents and settings\меломанка\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\меломанка\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\меломанка\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
c:\documents and settings\меломанка\application data\winxrar\winrar.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\меломанка\application data\winxrar\winrarview.exe (Trojan.Agent) -> No action taken.
Нажмите, чтобы раскрыть...

Сообщите что с проблемой?

Newborn · 3 дек 2011

полное сканирование Nod32 ничего не обнаружило!!!!
ураа, огромное спасибо

oleg · 3 дек 2011

Пожалуйста. -

Войти или зарегистрироваться

Решена - Как вылечить систему от Win32/TrojanDownloader.Carberp.AD

Newborn Junior User

oleg Expert Вирусоборец

oleg Expert Вирусоборец

oleg Expert Вирусоборец

Newborn Junior User

oleg Expert Вирусоборец

Newborn Junior User

oleg Expert Вирусоборец

Поделиться этой страницей

Войти или зарегистрироваться

Решена - Как вылечить систему от Win32/TrojanDownloader.Carberp.AD

Newborn Junior User

oleg Expert Вирусоборец

oleg Expert Вирусоборец

oleg Expert Вирусоборец

Newborn Junior User

oleg Expert Вирусоборец

Newborn Junior User

oleg Expert Вирусоборец

Поделиться этой страницей

Быстрый поиск