Решена - Сволочной Win32/TrojanDownloader.Carberp.AD trojan

Жена поймала на свой комп Win32/TrojanDownloader.Carberp.AD trojan.
(Оперативная память » explorer.exe(2080) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна)

Вирус мучает жену, а она - меня. Спасайте, братцы, а то останусь без горячего...

Образ залил на http://zalil.ru/32681479

Спасибо за грядущую помощь.

 

И да, эта ссылка на образ атозапуска в uVS.

 

Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!

Код:

;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0

zoo %SystemRoot%\PNUUM.SYS
bl 154449574C62F1002932AD4D94FF2940 167424
bl B0E37A61A1706E625D5329E4A7B0D557 179712
delmz %SystemDrive%\USERS\ИРИНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\3YESJZMZJ9M.EXE
delmz %SystemDrive%\USERS\ИРИНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SLXE8WPC3CI.EXE
delall %SystemDrive%\USERS\ИРИНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\3YESJZMZJ9M.EXE
delall %SystemDrive%\USERS\ИРИНА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SLXE8WPC3CI.EXE
deltmp
delnfr
czoo
sreg
delref %SystemRoot%\PNUUM.SYS
areg

И жмем Выполнить. После выполнения скрипта - ПК перезагрузится.
В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес sendvirus2011@gmail.com и arvid@live.ru с темой письма virus_adminplanet.
После перезагрузки сделать лог Malwarebytes и выложить сюда. Можно сделать быструю проверку, а не полную.

 

Вот лог:

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Версия базы данных: v2012.02.11.04

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19170
Ирина :: IRINA [администратор]

11.02.2012 16:44:22
mbam-log-2012-02-11 (17-17-26).txt

Тип сканирования: Быстрое сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 191482
Времени прошло: 5 минут , 7 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 2
C:\Users\Ирина\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

(конец)

 

Удалите в MBAM следующие строки:

Выполните следующий скрипт в AVZ:

После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления, которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

В остальном чисто. На этом лечение завершено.

Если форум оказался полезен вам и вашему компьютеру, пожалуйста, поддержите его -

 

Спасибо. Все ,вроде , чисто. Ждите Яндексденюжку.

 

Vlaper,
кстати, советую сменить пароли, особенно на денежных кошельках