Решена - Как вылечить систему от Win32/TrojanDownloader.Carberp.AD

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Newborn, 3 дек 2011.

  1. Newborn

    Newborn Junior User

    Здравствуйте,
    Nod 32 выдаёт
    Оперативная память » explorer.exe(1620)
    модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна

    прикрепляю ссылку на образ в uVS
    http://exfile.ru/236090

    сканирование HijackThis http://webfile.ru/5706276
    avz4 http://zalil.ru/32186937

    Очень надеюсь на Вашу помощь! Система уже не реально тормозит. Работать не возможно!


    [MOD="Nod"]
    УВАЖАЕМЫЕ ПОСЕТИТЕЛИ ФОРУМА!

    Если вы вдруг обнаружили у себя этот вирус.

    Для успешного удаления этого вируса, вам необходимо выполнить следующее:

    1. Сделайте образ автозупуска (как сделать образ автозапуска)
    2. Загрузить сделанный образ на файлообменник, (например exfile.ru или rghost.ru),
    3. Создать НОВУЮ тему в разделе по борьбе с вирусами с кратким описанием проблемы и ссылкой на образ.

    После детального анализа "образа автозапуска", Вам будет предложен скрипт лечения.
    [/MOD]
     
    Последнее редактирование: 3 дек 2011
  2. oleg

    oleg Expert Вирусоборец

    Анализирую, ждите.
     
  3. oleg

    oleg Expert Вирусоборец

    Выполните скрипт в uVS:

    - Откройте папку с UVS и запустите файл start.exe.
    - В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    - Скопируйте скрипт подготовленный для вас консультантом.
    - Выберите меню "Скрипт" -> Выполнить скрипт находящийся в буфере обмена..."
    - Нажмите на кнопку "Выполнить" и дождитесь завершения работы программы.

    Код:
    ;uVS v3.71 script [[url]http://dsrt.dyndns.org][/url]
    
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\МЕЛОМАНКА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IRS1ZKJA2L4.EXE
    delref [url]HTTP://SAMLAB.WS[/url]
    delref [url]HTTP://WWW.MICROSOFT.COM/ISAPI/REDIR.DLL?PRD=IE&AR=IESEARCH[/url]
    delref [url]HTTP://WWW.MICROSOFT.COM/ISAPI/REDIR.DLL?PRD=IE&PVER=5.5&AR=MSNHOME[/url]
    delref HTTP://WWW.MICROSOFT.COM/ISAPI/REDIR.DLL?PRD={SUB_PRD}&CLCID={SUB_CLSID}&PVER={SUB_PVER}&AR=HOME
    delref [url]HTTP://WWW.SMAXI.NET[/url]
    delref [url]HTTP://WWW.SYMANTEC.COM/ENTERPRISE/SECURITY_RESPONSE/INDEX.JSP[/url]
    delref %SystemDrive%/DOCUMENTS AND SETTINGS/МЕЛОМАНКА/LOCAL SETTINGS/APPLICATION DATA/AKAMAI/NETSESSION_WIN.EXE
    delall .\\DISPEA.DLL
    deltmp
    delnfr
    restart
    
     
    Последнее редактирование: 3 дек 2011
  4. oleg

    oleg Expert Вирусоборец

    1. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически   закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера   подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(1);
     ExecuteRepair(9);
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.


    2. Сделайте новые логи AVZ.

    3. Cделайте лог MBAM и дайте ссылку на файл лога.
     
    Последнее редактирование: 3 дек 2011
  5. Newborn

    Newborn Junior User

  6. oleg

    oleg Expert Вирусоборец

    Удалите в MBAM следующие строки:


    Сообщите что с проблемой?
     
  7. Newborn

    Newborn Junior User

    полное сканирование Nod32 ничего не обнаружило!!!! :)
    ураа, огромное спасибо :)
     
  8. oleg

    oleg Expert Вирусоборец

    Пожалуйста. -
     

Поделиться этой страницей