Решена - как удалить вирус, модифицированный Win32/TrojanDownloader.Carberp.AD

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Nevermind00, 10 ноя 2012.

  1. Nevermind00

    Nevermind00 Junior User

    Оперативная память » explorer.exe(1700) вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна
    образ автозапуска:
    http://zalil.ru/33947546
    хелп ми, плиз!!
     
  2. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    Доброго времени суток!

    1. В папке с программой UVS будет файл script.cmd
    Запустить файл, запустится окно программы для ввода скрипта,
    скопировать скрипт написанный ниже и вставить в окно программы.
    ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

    Код:
    ;uVS v3.76 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.0
    
    zoo %SystemDrive%\USERS\ЛОЛ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\XL1E2BEZXKI.EXE
    zoo C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
    bl 869FFF788007EDF3E000BE613B90910A 195584
    delall %SystemDrive%\USERS\ЛОЛ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\XL1E2BEZXKI.EXE
    delhst 46.251.249.136 counter.rambler.ru mc.yandex.ru admulti.com counter.spylog.com
    delhst 46.251.249.133 wap.odnoklassniki.ru m.odnoklassniki.ru www.odnoklassniki.ru odnoklassniki.ru
    delhst 46.251.249.135 www.vk.com m.vk.com vk.com my.mail.ru
    delhst 127.0.0.1 antiblock.ru dardan.ru o.vhodilka.ru obhodilka.ru raskruty.ru razblokirovatdostup.ru
    delhst 127.0.0.1 webvpn.org unboo.ru anonim.do.am nekontakt2.ru hellhead.ru anonimvk.ru
    delhst 127.0.0.1 adminimus.ru netdostupa.com nemir.ru dostyp.ru 
    delhst 127.0.0.1 nezayti.ru vkanonim.ru webmurk.ru waitplay.ru anonimix.ru
    delhst 127.0.0.1 vhodilka.ru ok-anonimaizer.ru neklassniki.ru urlbl.ru workandtalk.ru
    delhst 127.0.0.1 anonim.ttu.su pinun.ru spoolls.com v.vhodilka.ru websplatt.ru diazoom.ru
    delhst 127.0.0.1       localhost
    delref COPY
    regt 3
    regt 14
    regt 18
    deltmp
    delnfr
    restart
    И жмем кнопку Выполнить.
    На запросы программы по удалению жмите ДА
    ПК перезагрузится.

    В папке с программой UVS будет папка zoo, ее поместить в архив,
    установить пароль virus и прислать сюда sendvirus2011@gmail.com

    2. Cделайте лог MBAM (подробнее) и
    дайте ссылку на файл лога.*выполнять обязательно!
    Если лог не открылся, нажмите "Показать Результаты", сохраните отчет и дайте на него ссылку.

    Если форум оказался полезен вам и вашему компьютеру, пожалуйста, поддержите его работу -
     
  3. oleg

    oleg Expert Вирусоборец

    Доброе время суток!

    1. Отключите антивирус/файрволл.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли


    3. Выполните еще такой скрипт в uVS (как выполнить скрипт):
    Код:
    ;uVS v3.76 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.0
    
    [B][COLOR="Red"]delref %Sys32%\APSHOOK.DLL[/COLOR][/B]
    delall F:\AUTORUN.INF
    delall %SystemDrive%\USERS\ЛОЛ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\XL1E2BEZXKI.EXE
    delall %SystemDrive%\USERS\ЛОЛ\APPDATA\LOCAL\TEMP\26B4A1DD-E07B-48AF-BE4E-9642B273284B\CLISECURERT.DLL
    regt 12
    regt 14
    regt 1
    regt 2
    regt 18
    regt 3
    deltmp
    delnfr
    restart
    
    После выполнения скрипта, компьютер будет перезагружен.
     
    Последнее редактирование: 10 ноя 2012
  4. Nevermind00

    Nevermind00 Junior User

    Спасибо! вроде сработало! по скрипту от Oleg'а
    а чем он отличается от метода zloyDi ?
     
  5. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    Практически ничем, кроме нескольких строчек! Чей скрипт выполняли?

    2. Cделайте лог MBAM (подробнее) и
    дайте ссылку на файл лога.*выполнять обязательно!
    Если лог не открылся, нажмите "Показать Результаты", сохраните отчет и дайте на него ссылку.
     
  6. Nevermind00

    Nevermind00 Junior User

  7. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    Удалите MBAM! Он более не нужен!

    Для закрытия уязвимостей, выполнить скрипт в AVZ:

    Код:
    begin
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
     If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
     Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false)
     else MessageDlg('Часто используемые уязвимости не обнаружены.', mtInformation, mbOk, 0);
    ExitAVZ;
    end.
    После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления,
    которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.
     
  8. Nevermind00

    Nevermind00 Junior User

    все сделал! спасибо большое!
     
  9. Nevermind00

    Nevermind00 Junior User

    а почему avz, MBAM могут то, с чем не справился NOD32 например?
     
  10. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    Вообще то нод обнаружил тот вирус который еще и сам не знал, это зеркальный детект в памяти! Базу антивируса по чаще обновляйте и выполняйте не просто сканирование, а скан с очисткой + закрытые дыр в системе, через которые вирус и проникает в систему (Java, Adobe)
     
  11. Nevermind00

    Nevermind00 Junior User

    а где можно почитать инфу, как вы на основе логов автозапуска скрипты составляете?
     
  12. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

Поделиться этой страницей