Оперативная память » explorer.exe(1960) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

Сообщений: 7

Баллов: 3

Регистрация: 22.03.2012

Размещено 20.04.2012 03:50:16

Здравствуйте!
Появился вирус: Оперативная память = explorer.exe(1960) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

Прикрепленные файлы

ПК_2012-04-20_09-50-18.rar (330.89 КБ)

Изменено: Arselor - 20.04.2012 03:58:21

Сообщений: 17973

Баллов: 14378

Регистрация: 16.03.2010

Размещено 20.04.2012 06:14:14

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\АЯЛ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ZDQTYF5JBAI.EXE addsgn A7679B1BB9FA4C720BBE625981EE1205A64EF81E53CA1F78D6A94BD698BCD02642FF0F673E551E8D3BEAF8F50BFECFC97DDF6BB65D8CDAD9C589892FC785E677 10 Gen:Variant.Kazy.56037 bl F2306A82440080F0E23808029E78AB41 141312 delall %SystemDrive%\USERS\АЯЛ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ZDQTYF5JBAI.EXE chklst delvir deltmp delnfr CZOO restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
zoo %SystemDrive%\USERS\АЯЛ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ZDQTYF5JBAI.EXE
addsgn A7679B1BB9FA4C720BBE625981EE1205A64EF81E53CA1F78D6A94BD698BCD02642FF0F673E551E8D3BEAF8F50BFECFC97DDF6BB65D8CDAD9C589892FC785E677 10 Gen:Variant.Kazy.56037
bl F2306A82440080F0E23808029E78AB41 141312
delall %SystemDrive%\USERS\АЯЛ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ZDQTYF5JBAI.EXE
chklst
delvir
deltmp
delnfr
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после скрипта (например: 2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 22.03.2012

Размещено 20.04.2012 10:36:43

Вот лог с malwarebytes

Прикрепленные файлы

mbam-log-2012-04-20_(16-29-36).txt (2.57 КБ)

Изменено: Arselor - 20.04.2012 10:37:09

Сообщений: 5199

Баллов: 4169

Регистрация: 12.05.2010

Размещено 20.04.2012 10:54:55

Удалите всё, кроме:
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore|DisableConfig (Windows.Tool.Disabled) -> Плохо: (1)
Выполните скан оперативной памяти по требованию.
Если проблема решена, выполните наши рекомендации: http://forum.esetnod32.ru/forum9/topic3998/

Изменено: Валентин - 20.04.2012 10:55:42

ESET Technical Support

Сообщений: 7

Баллов: 3

Регистрация: 22.03.2012

Размещено 20.04.2012 15:13:01

Спасибо.
Проблема решена.

[ Закрыто ] Оперативная память » explorer.exe(1960) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна