Оперативная память = explorer.exe(3348) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF

Сообщений: 5

Баллов: 2

Регистрация: 22.07.2012

Размещено 24.07.2012 22:49:18

Добрый день!
Столкнулся с вирусом побежденным ранее

Сообщение Нода:
Оперативная память = explorer.exe(3348) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

Нестабильно работают браузеры. Программы запускаются далеко не с первого раза, в том числе и UVS.
Проверка malvarebutes не обнаружила ничего.

Прикрепленные файлы

TOSHIBA_A300_2012-07-24_22-33-50.7z (254.43 КБ)

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 24.07.2012 22:56:15

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv6.0 zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MAOLADLHPGS.EXE bl 6BCCDC9B726A234A7C5CF0FFAC5730E1 181760 delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MAOLADLHPGS.EXE zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\DCCED0.EXE bl CF61F80EE1435110F5DE1796CB8D75EF 44544 delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\DCCED0.EXE deltmp delnfr regt 14 czoo restart

Код

;;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0

zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MAOLADLHPGS.EXE
bl 6BCCDC9B726A234A7C5CF0FFAC5730E1 181760
delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MAOLADLHPGS.EXE
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\DCCED0.EXE
bl CF61F80EE1435110F5DE1796CB8D75EF 44544
delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\DCCED0.EXE
deltmp
delnfr
regt 14
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится;
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Сообщений: 5

Баллов: 2

Регистрация: 22.07.2012

Размещено 24.07.2012 23:17:58

Спасибо! Помогло.
В прошлый раз мне не удалось выполнить все рекомендации (обновить IE в частности). В этот раз буду повнимательнее.

Прикрепленные файлы

mbam-log-2012-07-24(23-03-58).rar (655 Б)

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 24.07.2012 23:39:32

combat_father

Если проблема решена:

Выполните рекомендации:
http://forum.esetnod32.ru/forum9/topic3998/
&
Проверка на программные уязвимости браузеров.
http://www.surfpatrol.ru/

[ Закрыто ] Оперативная память = explorer.exe(3348) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF , троянская программа - очистка невозможна