Решена - Оперативная память = explorer.exe(192) - Win32/TrojanDownloader.Carberp.AF

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Tomas2187, 3 май 2012.

  1. Tomas2187

    Tomas2187 Junior User

    вот такая вот проблема:

    Оперативная память = explorer.exe(192) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

    сделал лог:

    http://rghost.ru/37896477
     
    Последнее редактирование: 3 май 2012
  2. Last Emperor

    Last Emperor Вирусоборец

    Tomas2187, Сделайте логи как показано в -
    Ссылки битые. Перезалейте на rghost.
     
  3. Tomas2187

    Tomas2187 Junior User

    файл перезалил. пробую делать как (ИНСТРУКЦИЯ ПО БОРЬБЕ С ВИРУСАМИ!) написано

    еще проблема в том что ПК с проблемой находиться далеко и я работаю через удаленного пользователя.
     
  4. Last Emperor

    Last Emperor Вирусоборец

    Лога uVS достаточно, не делайте остальные. Сейчас проанализирую его.
     
  5. Last Emperor

    Last Emperor Вирусоборец

    1. Отключите антивирус/файрволл.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    ------------------------------------------------------------------------------
    3. Выполните скрипт в uVS (как выполнить скрипт):
    Код:
    ;uVS v3.74 script [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    ; C:\PROGRAM FILES\ULTRAISO\ULTRAISO.EXE
    addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6F15E23947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 8 Trojan:Win32/Malagent
    
    ; C:\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CBBAB1ESKVM.EXE
    addsgn A7679B1BB9EA4C720B6DA10F64C8A8E1258AFCA4D812BE5B85C3467858BC5F26B27DF63D5ABD9D562B80075B5645C0BF8989B818488ADA32C540812FC785E663 8 Carberp
    
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CBBAB1ESKVM.EXE
    bl 3A2A668C7EC65A085918C892777800B0 141824
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CBBAB1ESKVM.EXE
    delref HTTP://WWW.CHIPXP.RU/
    zoo %Sys32%\DRIVERS\02534446.SYS
    delall %Sys32%\DRIVERS\02534446.SYS
    exec cmd /k attrib -r -s -h "%appdata%\igfxtray.dat"&del "%appdata%\igfxtray.dat"&exit
    exec cmd /k del "%windir%\system32\ieunitdrf.inf"&exit
    deltmp
    delnfr
    restart
    

    После выполнения скрипта, компьютер будет перезагружен.

    4. Cделайте лог MBAM и дайте ссылку на файл лога.

    Если форум оказался полезен вам, пожалуйста, поддержите его работу -
     
  6. Tomas2187

    Tomas2187 Junior User

    спасибо пробую.
     
  7. Tomas2187

    Tomas2187 Junior User

  8. Last Emperor

    Last Emperor Вирусоборец

    Все чисто.


    Выполните следующий скрипт в AVZ:
    Код:
    begin
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
     If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
     Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
    ExitAVZ;
    end.
    
    После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления, которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

    В остальном чисто. Если проблема более не беспокоит, лечение завершено.

    Если форум оказался полезен вам, пожалуйста, поддержите его работу-
     
  9. Tomas2187

    Tomas2187 Junior User

    выполняю скрипт.

    огромное спасибо за помощь!
     

Поделиться этой страницей