Здравствуйте.
NOD32 нашел такую штуку
27.12.2011 11:33:24 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(2904) модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна
очень надеюсь на помощь.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Dalandis, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
1. Закройте все открытые приложения (программы), кроме АVZ и браузера (Mozilla Firefox, Opera, Google Chrome, Internet Explorer).
Отключите:
- ПК от интернета/локальной сети;
- Обязательно!!! Отключить системное восстановление!!! как - посмотреть можно здесь (по окончанию лечения, если будет необходимо, включите);
- Выгрузите антивирус и/или Файрвол;
- Пофиксите в HJT:
Код:
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
- Выполните скрипт в AVZ ("Файл - Выполнить скрипт" или в англ.версии "File - Custom scripts"). Скопируйте текст кода и вставьте в окно, нажмите "Выполнить (Run)":
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\rmhzb.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\dsw0Fs3x.sys','');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\dsw0Fs3x.sys');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\rmhzb.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
2. После перезагрузки выполните такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
3. Файл quarantine.zip из корня папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы;
4. Сделайте повторные логи по правилам п.2 и п.3 раздела "Диагностика" (virusinfo_syscheck.zip; hijackthis.log).
По крайней мере НОД больше ничего не находит. Спасибо
Еще волнует два вопроса
1. Что мог сделать троян?
2. Беспокоит строка в протоколе ">> Подмена диспетчера задач"
Последний раз редактировалось Dalandis; 27.12.2011 в 14:37.
Причина: Забыл hijackthis.log
Обычно такие зловреды (*.Troyan.*) воруют какие-либо данные. Меняйте пароли, но по окончании лечения.
Сообщение от Dalandis
2. Беспокоит строка в протоколе ">> Подмена диспетчера задач"
1. Выполните скрипт в AVZ ("Файл - Выполнить скрипт" или в англ.версии "File - Custom scripts"). Скопируйте текст кода и вставьте в окно, нажмите "Выполнить (Run)":
Код:
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
2. Повторите лог virusinfo_syscheck.zip
Последний раз редактировалось thyrex; 27.12.2011 в 21:13.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: