Решена - Антивирус находит TrojanDownloader.Carberp.AD, что делать?

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем GRE, 10 апр 2012.

  1. GRE

    GRE Junior User

    Оперативная память » explorer.exe(732) - модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна.

    Помогите удалить эту дрянь!

    hijackthis.log http://zalil.ru/33048094
    MBAM loghttp://zalil.ru/33048127
    AVPTOOL infohttp://zalil.ru/33048174
    uVS http://zalil.ru/33048180

    Сканирую AVZ, как досканит выложу логи... но может логов выше хватит -)
     
  2. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Здравствуйте!

    Выполните следующий скрипт в uVS:
    - запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
    - копируете следующий текст из поля "Код" в буфер обмена;
    Код:
    ;;uVS v3.74 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    delref HTTP://QIP.RU
    delref HTTP://SEARCH.QIP.RU
    bl 5840CB8702727C11FE496FB6637C6499 1515352
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ.6EB129CC6EBB432\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
    bl DEA88D7B8E7516F3AB4BF6DE888BFBEC 180224
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ.6EB129CC6EBB432\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\TOMD863EIVY.EXE
    zoo %Sys32%\DRIVERS\NCLMPPP.SYS
    czoo
    deltmp
    delnfr
    sreg
    delref %Sys32%\DRIVERS\NCLMPPP.SYS
    areg
    - затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
    - скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
    - обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
    - ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
    - по окончанию выполнения скрипта компьютер перезагрузится;
    - в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно задить на файлообменник - rghost.ru и оставить ссылку на этот архив в этой теме.
    - после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда.

    Если форум оказался полезен вам, пожалуйста, поддержите его работу -
     
  3. GRE

    GRE Junior User

  4. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    выполняйте пока что выше написано
     
  5. GRE

    GRE Junior User

    Залил на другой обменник, почему то rghost.ru писало что вредоносный код. Блокировно mBam. Вот ссылка на архив из uvs. http://zalil.ru/33048307
     
  6. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    делайте лог Мбам
     
  7. GRE

    GRE Junior User

    Angel-iz-Ada,спасибо Вам! Все получилось. Вирус удалился... mbam написал, что все чисто... и NOD32 теперь не находит в памяти вируса.
     
  8. oleg

    oleg Expert Вирусоборец

    GRE, выполните это:
     
  9. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Ну если чисто, то чисто :)

    Если проблема решена, то:
    При наличии на ПК доступа в интернет выполните следующий скрипт в AVZ:
    Код:
    begin
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
     If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
     Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
    ExitAVZ;
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.

    Если форум оказался полезен вам, пожалуйста, поддержите его работу -

    Если антивирус будет выдавать ошибку обновления, то очищаем кэш
    [​IMG]
     
  10. GRE

    GRE Junior User

    Сдела, пишет, что все чисто.
     
  11. oleg

    oleg Expert Вирусоборец

    В таком случае, чисто.
    Выполните то, что написано сообщением выше.
     
  12. GRE

    GRE Junior User

    Нашлись уязвимости в

    Поиск критических уязвимостей
    Установлен Adobe Acrobat версии . Опасно использовать версии до 10.1.2

    Множественные уязвимости в Sun Java JDK и JRE. Деинсталлируйте старую версию и установите новую:
    http://www.java.com/ru/download/manual.jsp

    Обнаружено уязвимостей: 2

    Устраняю! Еще раз спасибо Вам... за один день вирус на работе и жена дома Winlocker схватила, правда он странный... позволил мне открыть с клавиатуры кнопку пуск - мои документы ... а дальше я его прибил через regedit.
     
  13. oleg

    oleg Expert Вирусоборец

    Пожалуйста, обращайтесь.
    По возможности, поддержите работу форума -
     

Поделиться этой страницей