Оперативная память » explorer.exe(2040) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

Сообщений: 5

Баллов: 2

Регистрация: 02.03.2012

Размещено 02.03.2012 11:35:01

Smart Security нашел данный вирус, удалить не может. Нужна ваша помощь!

Прикрепленные файлы

MICROSOF-CB547C_2012-03-02_11-54-10.7z (152.02 КБ)

Изменено: AAZ - 02.03.2012 12:00:42

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 02.03.2012 11:48:08

Нужен лог
http://forum.esetnod32.ru/forum9/topic2687/

Сообщений: 5

Баллов: 2

Регистрация: 02.03.2012

Размещено 02.03.2012 12:11:13

Лог uVS:

Прикрепленные файлы

MICROSOF-CB547C_2012-03-02_11-54-10.7z (152.02 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.03.2012 14:09:29

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\POWRAD.API delref HTTP://WEBALTA.RU delref HTTP://WEBALTA.RU/POISK deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\POWRAD.API
delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 02.03.2012

Размещено 02.03.2012 15:43:39

К сожалению, не помогло. Вот, что получил.

Прикрепленные файлы

mbam-log-2012-03-02 (15-06-19).rar (3 КБ)
MICROSOF-CB547C_2012-03-02_15-19-03.7z (138.49 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.03.2012 15:46:25

вторая попытка:
------------
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\B4PQJ4ZYCT4.EXE addsgn A7679B1BB9C24C720B6EE1B164C899CF4F5394F6821AD810855F929338D6FF042C7FC36D047A75DD0180841C82021A537FF78C7921D93969D121CC2F1A09159B 8 a variant of Win32/Kryptik.ABKK [NOD32] bl 80B835EE6EC086A71A2B5FD6440C8E33 152064 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\B4PQJ4ZYCT4.EXE chklst delvir deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\B4PQJ4ZYCT4.EXE
addsgn A7679B1BB9C24C720B6EE1B164C899CF4F5394F6821AD810855F929338D6FF042C7FC36D047A75DD0180841C82021A537FF78C7921D93969D121CC2F1A09159B 8 a variant of Win32/Kryptik.ABKK [NOD32]

bl 80B835EE6EC086A71A2B5FD6440C8E33 152064
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\B4PQJ4ZYCT4.EXE
chklst
delvir
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 02.03.2012

Размещено 02.03.2012 16:20:11

Готово.

Прикрепленные файлы

MICROSOF-CB547C_2012-03-02_15-59-01.7z (152.89 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.03.2012 16:57:45

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE delref HTTP://WWW.COMOESTAMOS.COM/SEARCH/ deltmp delnfr sreg delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL areg

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE
delref HTTP://WWW.COMOESTAMOS.COM/SEARCH/
deltmp
delnfr
sreg
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
areg

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 02.03.2012

Размещено 02.03.2012 22:34:56

Короче, в Smarte и в малваребайте чисто! А в uVS:

Прикрепленные файлы

MICROSOF-CB547C_2012-03-02_22-19-43.7z (151.24 КБ)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 02.03.2012 22:36:56

Далее выполните наши рекомендации пользователям
http://forum.esetnod32.ru/forum9/topic3998/

Тема закрыта.

[ Закрыто ] Оперативная память » explorer.exe(2040) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна