Nata_Kov

18.12.2011 14:26:34 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1984) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна Natalia-ПК\Natalia

Так лечение будет длиться 45000 лет !
*Если лечить - так лечить без таких глобальных перерывов !

Вирус как был так и остался !
Нужен новый/повторный образ в uVS

[QUOTE]zloyDi пишет:
Нужен файл вируса, без него ничего не будет![/QUOTE]

Как мне представляется есть другой вариант.

Если, есть 2-ва идентичных по содержанию файла.
Один файл зашифрован - Другой соответственно не зашифрован.  
Если взять в качестве образца не зашифрованный файл и произвести их сравнение.
То должен вскрыться алгоритм шифрования.
Начать с простого txt файла - В случае успеха применить выявленную закономерность в отношении расшифровки файлов других типов.

Хотя, всё зависит от принципов шифрования.
Номер может не пройти.  :(  :)

[QUOTE]k0mapuk пишет:
Надеюсь такого вируса больше не будет.[/QUOTE]
Мы тоже.  :D

[QUOTE]k0mapuk пишет:
Нету[/QUOTE]
Я так и понял, однако решил спросить.  ;)

Значит после зачистки в Malwarebytes мы лечение заканчиваем.

Обязательно - Выполните рекомендации:
http://forum.esetnod32.ru/forum9/topic751/

Удаляем в Malwarebytes
Следующее:

Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\AdTools, Inc. (Adware.AdTools) -> No action taken.

Зараженные файлы:
c:\documents and settings\Komap\application data\igfxtray.dat (Malware.Trace) -> No action taken.
c:\documents and settings\Даниил\application data\igfxtray.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> No action taken.

[QUOTE]k0mapuk пишет:
установить (только сканер!), отказаться от тестового периода А если я случайно нажал тестовый режим ><?[/QUOTE]

Это непринципиально - после лечения программу удалите и всё.
Как сейчас система ?

У вас есть в наличие оригинальный установочный CD диск с Windows XP ?

Выполните скрипт в uVS
Скрипт > Выполнить скрипт находящийся в буфере обмена...
* Скопировать текст скрипта и выполнить!
[COLOR=#BB0033]Перед выполнением скрипта закрыть браузеры ![/COLOR]

[CODE]
;uVS v3.73 script [http://dsrt.dyndns.org]

delref HTTP://MAIL.RU/CNT/7898
delref HTTP://REALDESKTOP.TOOLBAROPTIONS.COM/?TMP=TOOLBAR_REALDESKTOP_HOMEPAGE&PRT=REALDESKTB04IE&V=15
delref HTTP://US.RD.YAHOO.COM/CUSTOMIZE/YCOMP/DEFAULTS/SP/*HTTP://WWW.YAHOO.COM
delref HTTP://WWW.YANDEX.RU/?CLID=149157
delref HTTP://WWW.YANDEX.RU/?CLID=40795
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KOMAP\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\YAHOO! WIDGETS.LNK
delall %SystemDrive%\DOCUMENTS AND SETTINGS\KOMAP\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\YAHOO! WIDGETS.LNK
zoo %SystemDrive%\PROGRAM FILES\YAHOO!\WIDGETS\YAHOOWIDGETS.EXE
delall %SystemDrive%\PROGRAM FILES\YAHOO!\WIDGETS\YAHOOWIDGETS.EXE
deltmp
delnfr
regt 1
regt 2
regt 3
regt 5
regt 18
fixvbr C: 5
restart

[/CODE]

После чего:
Сделайте дополнительно лог малваребайт
http://forum.esetnod32.ru/forum9/topic682/

НЕ УДАЛЯЕМ найденное !
Лог сканирования прикрепить к теме !

[QUOTE]k0mapuk пишет:
новый образ автозапуска uVS можно сделать его в этом режиме или надо в windows заходить?[/QUOTE]

В этом режиме - при работе с диском на базе Linux системы uVS работать не будет.
Так, что из Windows.

[QUOTE]k0mapuk пишет:
Что именно мне сканировать теперь?[/QUOTE]
Все диски в том числе и USB если на них есть какие либо программы.
Сканировать с очисткой !
Если, есть подозрение,что вирус может быть в том числе и в архивных файлах - сканируем и их.

После этого нужен новый образ автозапуска uVS.

Да, Арвид молодец.
Хорошо работает.  :D