Как избавить от вируса Carberp , Инструкция для удаления вируса (не для загрузочного варианта)

1
RSS
Итак, если у вас завелся Carberp и антивирус информирует об этом, есть способ избавиться от него с помощью антивируса от ESET.

Для начала надо убедиться что вирус запускается уже в ОС, а не до нее, в загрузочном секторе.
Для этого открываем окно антивируса - Сканирование ПК и выбираем Выборочное сканирование:

Затем жмем Настройка - Очистка и выбираем Уровень очистки на максимум - Тщательная очистка


Далее выбираем у каждого вашего раздела Загрузочный сектор и жмем Сканировать

Если антивирус ничего не нашел, то радуемся и переходим к следующему шагу:
Также заходим в Выборочное сканирование и выбираем каталог для проверки и нажимаем на Сканирование (галочку на Сканировать без очистки не ставить :))
Цитата
для ХР - C:\Documents and Settings\Имя вашего профиля\Главное меню\Программы\Автозагрузка
для Vista, 7 - c:\Users\Имя вашего профиля\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

Теперь жмем на Показать сканирование и журнал в отдельном окне:

Где должны увидеть вот такое сообщение:

Если антивирус предложит перезагрузку для удаления вируса - сразу жмите Да. Если не предложит - все равно перезагрузитесь :)

На этом все. Теперь можете почистить хвосты после вируса - это могут быть папки в корне системного раздела с рандомным именем, например - 2gPzm53eSx3wen4, zLx64TLcqaKlCIo, 4VlJRUKP0ZewDln и т.п.
А также файлы:
Цитата
c:\WINDОWS\system32\iеunitdrf.inf
c:\Users\Имя пользовaтеля\AppData\Roaming\igfxtray.dat
с:\Documents and Settings\Имя пользовaтеля\Application Data\igfxtray.dat
Если в сканировании ничего не нашлось, значит у антивируса базы обновлений не актуальны и этот экземпляр вируса он просто не видит. Пробуем обновить базы у антивируса и повторяем процедуру. Если ничего не выходит - делаем лог программой uVS (инструкция) и создаем новую тему в этой категории форума, где Вам обязательно помогут  ;)
Изменено: Арвид - 03.12.2011 21:44:31
Правильно заданный вопрос - это уже половина ответа
Не всегда, есть разные модификации этого грабанного Carberpa. многие из них не дают себя удалять Нодом, есть которые глушат Dr.Web и других антивирусных систем. тогда, лучше всего глушить через мультизагрузку, так, как многие гады обладают хорошей самозащитой и стелс технологиями. лучше всего записать его ХЭШ и его размер и через мультизагрузку найти такой фаил по ХЭШУ или по размеру (проще всего). Это ещё один эффективный способ, если же появилась модифакация, которая делает жесткий невидимый, то обращатся на форум или к спецу.
1
Читают тему (гостей: 1)