Решена - вирус - модифицированный Win32/TrojanDownloader.Carberp.AH как удалить?

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Kam, 15 апр 2012.

  1. Kam

    Kam Junior User

    Здравствуйте. Поймал вирус Trojan.
    NOD32 выдает следующее сообщение:
    Оперативная память = explorer.exe(988) - модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна
    Следуя инструкциям создал отчеты о состоянии системы:
    http://zalil.ru/33074553 - образ автозапуска
    http://zalil.ru/33074721 - лог утилиты HiJackThis
    http://zalil.ru/33075182 - лог утилиты AVZ
    Заранее Вам спасибо!
     
    Последнее редактирование модератором: 15 апр 2012
  2. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Здравствуйте!

    Выполните следующий скрипт в uVS:
    - запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
    - копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
    Код:
    ;;uVS v3.74 script [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    exec MSIEXEC.EXE /I{2338890B-4BE4-47FD-AD51-577465FA6ADA}
    exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
    exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK_RFRLETITBIT2_S_MPCLN9514.EXE UNINSTALL
    deltmp
    delnfr
    delall %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\HTG3LELL.SYS
    restart
    - затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
    - скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
    - обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
    - ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
    - по окончанию выполнения скрипта компьютер перезагрузится;
    - после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда.
     
  3. Kam

    Kam Junior User

    Обнаружено 10 вредоносных программ 0_0 вот тебе и лицензионный NOD32
     

    Вложения:

  4. Kam

    Kam Junior User

    Программа предлагает удалить объекты, мне соглашаться?
     
  5. Last Emperor

    Last Emperor Вирусоборец

    C:\DOCUME~1\Admin\LOCALS~1\Temp\HTg3leLL.sys - это от курейта.


    AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
    скрипт -> Нажать кнопку "Запустить".
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ieunitdrf.inf','');
     DeleteFile('C:\WINDOWS\system32\ieunitdrf.inf');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    
    Выполните следующий скрипт в AVZ:
    Код:
    begin
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
     If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
     Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
    ExitAVZ;
    end.
    После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления, которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

    Файл C:\WINDOWS\notepad.exe проверьте на Virustotal. Ссылку сюда.

    В остальном чисто. Если проблема более не беспокоит, лечение завершено.

    Если форум оказался полезен вам, пожалуйста, поддержите его работу-
     
  6. Kam

    Kam Junior User

    Извиняюсь за задержку. Все сделал как сказали. Обнаружено 13 слабых мест, благодаря ссылкам из лога исправил их. Только ссылка на Virustotal не работает. Или мне ее самоум надо найти и проверить. Заранее спасибо. Спасибо, что откликнулись
     
  7. Last Emperor

    Last Emperor Вирусоборец

    Да я её не указывал. :) Вот https://www.virustotal.com/
     
  8. Kam

    Kam Junior User

    Спасибо иду по ссылке)
     
  9. Kam

    Kam Junior User

    По завершении сканирования было выдано следующее сообщение:

    This file was already analysed by VirusTotal on 2012-04-15 08:47:27.

    Detection ratio: 1/42

    You can take a look at the last analysis or analyse it again now.

    Что делать дальше?
     
  10. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Да нормальный файл, просто Мбам иногда параноит
     
  11. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Если все обновления скачали и установили, то на этом все
     
  12. Last Emperor

    Last Emperor Вирусоборец

    Да всё в порядке..
     
  13. Kam

    Kam Junior User

    Всем огромное спасибо, очень выручили. Подскажите пожалуйста какой антивирусник ставить, сейчас NOD 32, заканчивается лицензия, мне ее продлять или перейти на другой, который посоветуете? (конечно самое слабое звено это пользователь, но все же :) )
     
  14. Last Emperor

    Last Emperor Вирусоборец

    Все антивирусы не гарантируют 100% защиты, так что ставьте тот который удобнее. У мня например Avast стоит, хоть систему не грузит так как остальные антивирусы...
     
  15. Kam

    Kam Junior User

    Еще раз спасибо.
     
  16. Kam

    Kam Junior User

    Только что попытался обновить базу в NOD32. Пишет что обновление не возможно, данные обновления не согласованны. Это как-то связано, с моими недавними действиями?
     
  17. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

  18. Kam

    Kam Junior User

    Огромное спасибо. Простите за Ваше потраченное время.
     

Поделиться этой страницей