Решена - Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем snowtracer, 28 авг 2012.

  1. snowtracer

    snowtracer Newbie

    Доброе время суток! Прошу помощи!

    NOD 32 сообщил ошибку: Оперативная память = explorer.exe(244) - вероятно
    модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

    файл лога от uVS :

    http://exfile.ru/369156

    лог от проверки MBAM :

    http://exfile.ru/369157

    Заранее благодарен.
     
  2. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    Доброго времени суток!

    1. В папке с программой UVS будет файл script.cmd
    Запустить файл, запустится окно программы для ввода скрипта,
    скопировать скрипт написанный ниже и вставить в окно программы.
    ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

    Код:
    ;uVS v3.75 script [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALEXEY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\PPGRPT6RMGS.EXE
    bl 575CCC57586086FD77AB1CB2F2513B30 180224
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALEXEY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\PPGRPT6RMGS.EXE
    delref HTTP://SEARCH.QIP.RU
    delref HTTP://WWW.MAIL.RU/CNT/8569
    delhst 91.235.2.111 vk.com odnoklassniki.ru www.vk.com www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com m.odnoklassniki.ru
    delhst 127.0.0.1 ok-anonimaizer.ru netdostupa.com adminimus.ru vhodilka.ru
    delhst 127.0.0.1 spoolls.com jelya.ru antiblock.ru websplatt.ru dardan.ru cameleo.ru obhodilka.ru pinun.ru
    delhst 127.0.0.1 v.vhodilka.ru o.vhodilka.ru raskruty.ru diazoom.ru razblokirovatdostup.ru anonim.ttu.su
    delhst 127.0.0.1 anonimix.ru waitplay.ru nezayti.ru webmurk.ru vkanonim.ru dostupest.ru
    delhst 127.0.0.1 urlbl.ru anonymizer.ru timp.ru workandtalk.ru dostyp.ru neklassniki.ru nemir.ru
    delhst 127.0.0.1 localhost hellhead.ru anonimvk.ru anonim.do.am webvpn.org unboo.ru xy4-anonymizer.ru nekontakt2.ru
    exec MSIEXEC.EXE /I{192C5AC9-F693-4BEF-A98F-35EAAD534D57}
    regt 3
    regt 14
    regt 18
    deltmp
    delnfr
    restart
    И жмем кнопку Выполнить.
    На запросы программы по удалению жмите ДА
    ПК перезагрузится.

    В папке с программой UVS будет папка zoo, ее поместить в архив,
    установить пароль virus и прислать сюда sendvirus2011@gmail.com

    Для закрытия уязвимостей, выполнить скрипт в AVZ:

    Код:
    begin
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
     If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
     Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false)
     else MessageDlg('Часто используемые уязвимости не обнаружены.', mtInformation, mbOk, 0);
    ExitAVZ;
    end.
    После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления,
    которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

    Сообщите о результате.

    Если форум оказался полезен вам и вашему компьютеру, пожалуйста, поддержите его работу -
     
  3. snowtracer

    snowtracer Newbie

    Все отлично, вирус удален, "дыры" в операционной системе залатаны. Приогромное спасибо за помощь.

    один нюанс: при загрузке windows открывается черное окно "cmd" и там текст: "Запрашиваемый файл не найден" - видимо это фал вируса не найден. можно ли это убрать ?
     
  4. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

  5. snowtracer

    snowtracer Newbie

  6. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    Доброго времени суток!

    1. В папке с программой UVS будет файл script.cmd
    Запустить файл, запустится окно программы для ввода скрипта,
    скопировать скрипт написанный ниже и вставить в окно программы.
    ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

    Код:
    ;uVS v3.75 script [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    exec MSIEXEC.EXE /I{192C5AC9-F693-4BEF-A98F-35EAAD534D57}
    exec MSIEXEC.EXE /I{65C64E3D-539F-4B81-993B-364C6169F8F5}
    exec MSIEXEC.EXE /I{0483E1BF-BD3D-4052-A9F2-C2D954D38139}
    regt 1
    regt 2
    regt 3
    regt 7
    regt 12
    regt 14
    regt 18
    deltmp
    delnfr
    restart
    И жмем кнопку Выполнить.
    На запросы программы по удалению жмите ДА
    ПК перезагрузится.

    Далее в программе HijackThis поставить галочки напротив
    И нажать Fix Checked

    Для закрытия уязвимостей, выполнить скрипт в AVZ:

    Код:
    begin
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
     If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
     Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false)
     else MessageDlg('Часто используемые уязвимости не обнаружены.', mtInformation, mbOk, 0);
    ExitAVZ;
    end.
    После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления,
    которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

    Сообщите о результате.
     
  7. snowtracer

    snowtracer Newbie

    Все встало на свои места, приогромное спасибо за профессиональную помощь!
     

Поделиться этой страницей