Решена - Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем snowtracer, 28 авг 2012.

  1. snowtracer

    snowtracer Newbie

    Доброе время суток! Прошу помощи!

    NOD 32 сообщил ошибку: Оперативная память = explorer.exe(244) - вероятно
    модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

    файл лога от uVS :

    http://exfile.ru/369156

    лог от проверки MBAM :

    http://exfile.ru/369157

    Заранее благодарен.
     
    snowtracer, 28 авг 2012
    #1
  2. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    Доброго времени суток!

    1. В папке с программой UVS будет файл script.cmd
    Запустить файл, запустится окно программы для ввода скрипта,
    скопировать скрипт написанный ниже и вставить в окно программы.
    ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

    Код:
    ;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALEXEY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\PPGRPT6RMGS.EXE
bl 575CCC57586086FD77AB1CB2F2513B30 180224
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALEXEY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\PPGRPT6RMGS.EXE
delref HTTP://SEARCH.QIP.RU
delref HTTP://WWW.MAIL.RU/CNT/8569
delhst 91.235.2.111 vk.com odnoklassniki.ru www.vk.com www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com m.odnoklassniki.ru
delhst 127.0.0.1 ok-anonimaizer.ru netdostupa.com adminimus.ru vhodilka.ru
delhst 127.0.0.1 spoolls.com jelya.ru antiblock.ru websplatt.ru dardan.ru cameleo.ru obhodilka.ru pinun.ru
delhst 127.0.0.1 v.vhodilka.ru o.vhodilka.ru raskruty.ru diazoom.ru razblokirovatdostup.ru anonim.ttu.su
delhst 127.0.0.1 anonimix.ru waitplay.ru nezayti.ru webmurk.ru vkanonim.ru dostupest.ru
delhst 127.0.0.1 urlbl.ru anonymizer.ru timp.ru workandtalk.ru dostyp.ru neklassniki.ru nemir.ru
delhst 127.0.0.1 localhost hellhead.ru anonimvk.ru anonim.do.am webvpn.org unboo.ru xy4-anonymizer.ru nekontakt2.ru
exec MSIEXEC.EXE /I{192C5AC9-F693-4BEF-A98F-35EAAD534D57}
regt 3
regt 14
regt 18
deltmp
delnfr
restart
    И жмем кнопку Выполнить.
    На запросы программы по удалению жмите ДА
    ПК перезагрузится.

    В папке с программой UVS будет папка zoo, ее поместить в архив,
    установить пароль virus и прислать сюда sendvirus2011@gmail.com

    Для закрытия уязвимостей, выполнить скрипт в AVZ:

    Код:
    begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false)
 else MessageDlg('Часто используемые уязвимости не обнаружены.', mtInformation, mbOk, 0);
ExitAVZ;
end.
    После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления,
    которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

    Сообщите о результате.

    Если форум оказался полезен вам и вашему компьютеру, пожалуйста, поддержите его работу -
     
    zloyDi, 28 авг 2012
    #2
  3. snowtracer

    snowtracer Newbie

    Все отлично, вирус удален, "дыры" в операционной системе залатаны. Приогромное спасибо за помощь.

    один нюанс: при загрузке windows открывается черное окно "cmd" и там текст: "Запрашиваемый файл не найден" - видимо это фал вируса не найден. можно ли это убрать ?
     
    snowtracer, 29 авг 2012
    #3
  4. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    zloyDi, 29 авг 2012
    #4
  5. snowtracer

    snowtracer Newbie

    snowtracer, 30 авг 2012
    #5
  6. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    Доброго времени суток!

    1. В папке с программой UVS будет файл script.cmd
    Запустить файл, запустится окно программы для ввода скрипта,
    скопировать скрипт написанный ниже и вставить в окно программы.
    ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

    Код:
    ;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

exec MSIEXEC.EXE /I{192C5AC9-F693-4BEF-A98F-35EAAD534D57}
exec MSIEXEC.EXE /I{65C64E3D-539F-4B81-993B-364C6169F8F5}
exec MSIEXEC.EXE /I{0483E1BF-BD3D-4052-A9F2-C2D954D38139}
regt 1
regt 2
regt 3
regt 7
regt 12
regt 14
regt 18
deltmp
delnfr
restart
    И жмем кнопку Выполнить.
    На запросы программы по удалению жмите ДА
    ПК перезагрузится.

    Далее в программе HijackThis поставить галочки напротив
    И нажать Fix Checked

    Для закрытия уязвимостей, выполнить скрипт в AVZ:

    Код:
    begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false)
 else MessageDlg('Часто используемые уязвимости не обнаружены.', mtInformation, mbOk, 0);
ExitAVZ;
end.
    После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления,
    которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

    Сообщите о результате.
     
    zloyDi, 30 авг 2012
    #6
  7. snowtracer

    snowtracer Newbie

    Все встало на свои места, приогромное спасибо за профессиональную помощь!
     
    snowtracer, 31 авг 2012
    #7

Поделиться этой страницей