Решена - как удалить вирус, модифицированный Win32/TrojanDownloader.Carberp.AD

Оперативная память » explorer.exe(1700) вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна
образ автозапуска:
http://zalil.ru/33947546
хелп ми, плиз!!

 

Доброго времени суток!

1. В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0

zoo %SystemDrive%\USERS\ЛОЛ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\XL1E2BEZXKI.EXE
zoo C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
bl 869FFF788007EDF3E000BE613B90910A 195584
delall %SystemDrive%\USERS\ЛОЛ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\XL1E2BEZXKI.EXE
delhst 46.251.249.136 counter.rambler.ru mc.yandex.ru admulti.com counter.spylog.com
delhst 46.251.249.133 wap.odnoklassniki.ru m.odnoklassniki.ru www.odnoklassniki.ru odnoklassniki.ru
delhst 46.251.249.135 www.vk.com m.vk.com vk.com my.mail.ru
delhst 127.0.0.1 antiblock.ru dardan.ru o.vhodilka.ru obhodilka.ru raskruty.ru razblokirovatdostup.ru
delhst 127.0.0.1 webvpn.org unboo.ru anonim.do.am nekontakt2.ru hellhead.ru anonimvk.ru
delhst 127.0.0.1 adminimus.ru netdostupa.com nemir.ru dostyp.ru 
delhst 127.0.0.1 nezayti.ru vkanonim.ru webmurk.ru waitplay.ru anonimix.ru
delhst 127.0.0.1 vhodilka.ru ok-anonimaizer.ru neklassniki.ru urlbl.ru workandtalk.ru
delhst 127.0.0.1 anonim.ttu.su pinun.ru spoolls.com v.vhodilka.ru websplatt.ru diazoom.ru
delhst 127.0.0.1       localhost
delref COPY
regt 3
regt 14
regt 18
deltmp
delnfr
restart

И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

В папке с программой UVS будет папка zoo, ее поместить в архив,
установить пароль virus и прислать сюда sendvirus2011@gmail.com

2. Cделайте лог MBAM (подробнее) и
дайте ссылку на файл лога.*выполнять обязательно!
Если лог не открылся, нажмите "Показать Результаты", сохраните отчет и дайте на него ссылку.

Если форум оказался полезен вам и вашему компьютеру, пожалуйста, поддержите его работу -

 

Доброе время суток!

1. Отключите антивирус/файрволл.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли


3. Выполните еще такой скрипт в uVS (как выполнить скрипт):

Код:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0

[B][COLOR="Red"]delref %Sys32%\APSHOOK.DLL[/COLOR][/B]
delall F:\AUTORUN.INF
delall %SystemDrive%\USERS\ЛОЛ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\XL1E2BEZXKI.EXE
delall %SystemDrive%\USERS\ЛОЛ\APPDATA\LOCAL\TEMP\26B4A1DD-E07B-48AF-BE4E-9642B273284B\CLISECURERT.DLL
regt 12
regt 14
regt 1
regt 2
regt 18
regt 3
deltmp
delnfr
restart

После выполнения скрипта, компьютер будет перезагружен.

 

Спасибо! вроде сработало! по скрипту от Oleg'а
а чем он отличается от метода zloyDi ?

 

Практически ничем, кроме нескольких строчек! Чей скрипт выполняли?

2. Cделайте лог MBAM (подробнее) и
дайте ссылку на файл лога.*выполнять обязательно!
Если лог не открылся, нажмите "Показать Результаты", сохраните отчет и дайте на него ссылку.

 

лог MBAMа:
http://zalil.ru/33948579

правда он блокирует сайт zalil.ru почему-то

 

Удалите MBAM! Он более не нужен!

Для закрытия уязвимостей, выполнить скрипт в AVZ:

Код:

begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false)
 else MessageDlg('Часто используемые уязвимости не обнаружены.', mtInformation, mbOk, 0);
ExitAVZ;
end.

После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления,
которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

 

все сделал! спасибо большое!

 

а почему avz, MBAM могут то, с чем не справился NOD32 например?

 

Вообще то нод обнаружил тот вирус который еще и сам не знал, это зеркальный детект в памяти! Базу антивируса по чаще обновляйте и выполняйте не просто сканирование, а скан с очисткой + закрытые дыр в системе, через которые вирус и проникает в систему (Java, Adobe)

 

а где можно почитать инфу, как вы на основе логов автозапуска скрипты составляете?

 

Почитать можно на форумах где обучают всему этому дела, к примеру
http://virusinfo.info/showthread.php?t=96026