Оперативная память » explorer.exe(1724) вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна

Сообщений: 4

Баллов: 2

Регистрация: 27.03.2012

Размещено 27.03.2012 10:46:56

лог uVS
http://rghost.ru/37247120

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.03.2012 11:06:52

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delall %SystemDrive%\USERS\995\APPDATA\LOCAL\TEMP\WDYTWI.DLL delref COPY deltmp delnfr regt 14 restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 27.03.2012

Размещено 27.03.2012 11:23:30

все так же...

Прикрепленные файлы

mbam-log-2012-03-27 (11-21-19).txt (3.05 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.03.2012 11:34:40

удалите найденное в мбам,
перегрузите систему
повторите сканирование в мбам,
-----
так же сделайте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 27.03.2012

Размещено 27.03.2012 11:42:13

проблема не решилась...
мбам ниче не находит

Прикрепленные файлы

угрозы.txt (6.06 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.03.2012 11:49:37

Цитата
27.03.2012 11:28:51 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1600) вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна 995-PC\995

сделайте образ автозапуска в безопасном режиме

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 27.03.2012

Размещено 27.03.2012 12:11:03

вот в безопасном...

Прикрепленные файлы

995-PC_2012-03-27_12-05-01.7z (209.93 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.03.2012 12:42:36

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\995\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IGL6CVTLVYQ.EXE addsgn A7679B1BB9A24D720B87F8E6A34D8EFBDA75FCF689FAD8FD613D3A4350D6714CE492AFA9C1AAF9492B80431AA6E8B60569DFE872929F482C2D77A4E842A6DC8C 8 tr.Carberp bl BC0ABA13EA07615CAD3E67F1B03D84A3 402984 delall %SystemDrive%\USERS\995\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IGL6CVTLVYQ.EXE chklst delvir deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
zoo %SystemDrive%\USERS\995\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IGL6CVTLVYQ.EXE
addsgn A7679B1BB9A24D720B87F8E6A34D8EFBDA75FCF689FAD8FD613D3A4350D6714CE492AFA9C1AAF9492B80431AA6E8B60569DFE872929F482C2D77A4E842A6DC8C 8 tr.Carberp
bl BC0ABA13EA07615CAD3E67F1B03D84A3 402984
delall %SystemDrive%\USERS\995\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IGL6CVTLVYQ.EXE
chklst
delvir
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем virus )
------------
далее,
выполните сканирование только оперативной памяти в ESET NOD32
если будет чисто,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]