Решена - Сволочной Win32/TrojanDownloader.Carberp.AD trojan

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Vlaper, 10 фев 2012.

  1. Vlaper

    Vlaper Newbie

    Жена поймала на свой комп Win32/TrojanDownloader.Carberp.AD trojan.
    (Оперативная память » explorer.exe(2080) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна)

    Вирус мучает жену, а она - меня. Спасайте, братцы, а то останусь без горячего...

    Образ залил на http://zalil.ru/32681479

    Спасибо за грядущую помощь.
     
  2. Vlaper

    Vlaper Newbie

    И да, эта ссылка на образ атозапуска в uVS.
     
  3. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
    Вставляем текст скрипта:
    Перед выполнением скрипта, закрыть браузеры!
    Код:
    ;;uVS v3.74 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.0
    
    zoo %SystemRoot%\PNUUM.SYS
    bl 154449574C62F1002932AD4D94FF2940 167424
    bl B0E37A61A1706E625D5329E4A7B0D557 179712
    delmz %SystemDrive%\USERS\ИРИНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\3YESJZMZJ9M.EXE
    delmz %SystemDrive%\USERS\ИРИНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SLXE8WPC3CI.EXE
    delall %SystemDrive%\USERS\ИРИНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\3YESJZMZJ9M.EXE
    delall %SystemDrive%\USERS\ИРИНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SLXE8WPC3CI.EXE
    deltmp
    delnfr
    czoo
    sreg
    delref %SystemRoot%\PNUUM.SYS
    areg
    И жмем Выполнить. После выполнения скрипта - ПК перезагрузится.
    В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес sendvirus2011@gmail.com и arvid@live.ru с темой письма virus_adminplanet.
    После перезагрузки сделать лог Malwarebytes и выложить сюда. Можно сделать быструю проверку, а не полную.
     
  4. Vlaper

    Vlaper Newbie

    Вот лог:

    Malwarebytes Anti-Malware 1.60.1.1000
    www.malwarebytes.org

    Версия базы данных: v2012.02.11.04

    Windows Vista Service Pack 2 x86 NTFS
    Internet Explorer 8.0.6001.19170
    Ирина :: IRINA [администратор]

    11.02.2012 16:44:22
    mbam-log-2012-02-11 (17-17-26).txt

    Тип сканирования: Быстрое сканирование
    Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
    Опции сканирования отключены: P2P
    Просканированные объекты: 191482
    Времени прошло: 5 минут , 7 секунд

    Обнаруженные процессы в памяти: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные модули в памяти: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные ключи в реестре: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные параметры в реестре: 0
    (Вредоносных программ не обнаружено)

    Объекты реестра обнаружены: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные папки: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные файлы: 2
    C:\Users\Ирина\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
    C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

    (конец)
     
  5. oleg

    oleg Expert Вирусоборец

    Удалите в MBAM следующие строки:
    Выполните следующий скрипт в AVZ:
    После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления, которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

    В остальном чисто. На этом лечение завершено.

    Если форум оказался полезен вам и вашему компьютеру, пожалуйста, поддержите его -
     
  6. Vlaper

    Vlaper Newbie

    Спасибо. Все ,вроде , чисто. Ждите Яндексденюжку.
     
  7. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Vlaper,
    кстати, советую сменить пароли, особенно на денежных кошельках
     

Поделиться этой страницей