Nod обнаружил троян TrojanDownloader.Carberp.AF в оперативной памяти в explorer.exe очистка невозможна. Помогите.
Nod обнаружил троян TrojanDownloader.Carberp.AF в оперативной памяти в explorer.exe очистка невозможна. Помогите.
Уважаемый(ая) bob66, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Обновите базы AVZ.
Если базы не обновляются через меню Файл - Обновление баз,
скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\STshMHdr.dll',''); QuarantineFile('C:\Documents and Settings\bob\Главное меню\Программы\Автозагрузка\R1XYNDkRdJk.exe',''); DeleteFile('C:\Documents and Settings\bob\Главное меню\Программы\Автозагрузка\R1XYNDkRdJk.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
А также
Сделайте логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
карантин отправил логи сделал. а при запуске RSIT выдает ошибку в строке 7153
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Этот ComboFix вынес мозг системе, заставил активировать винду, но лог как я понял создал не в корневой папке, как сказано в инструкции, а в своей. его и прилагаю. Кстати при перезагрузке, Nod опять ругнулся на вирус. прилагаю лог? который нашел.
Кстати при попытке любого телодвижения, будь то avz или еще что-то при перезагрузке, винда не загружается до конца, а выдает ошибку, еще пару раз перегружает машину и только потом загружается нормально. есть подозрение, что это связано с вирусом, который пытается восстанавливаться. возможно я ошибаюсь.
Запустите ComboFix еще раз и дождитесь окончания сбора лога. Ибо то, что Вы прикрепили - это какой-то обрывок
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
сделал повторный лог
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск С
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\3E2E.tmp c:\windows\system32\3E25.tmp Driver:: Folder:: C:\9vO3wAguztYHhLe c:\documents and settings\bob\Application Data\9vO3wAguztYHhLe Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
все сделал как просили. лог прилагаю
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\docume~1\ALLUSE~1\LOCALS~1\Temp\msdubm.com c:\documents and settings\bob\Главное меню\Программы\Автозагрузка\R1XYNDkRdJk.exe Driver:: Folder:: c:\documents and settings\bob\Application Data\9vO3wAguztYHhLe C:\9vO3wAguztYHhLe Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run] "23111"=- FileLook:: DirLook:: Reboot::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.[/QUOTE]
все сделал. лог прилагаю. Что же это за зараза такая?
Вас дважды просили сохранить скрипт на диск С!!! А Вы куда сохраняете?
Переделывайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
сделал последний скрипт на С. Или надо оба было переделать?
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\3E2E.tmp c:\windows\system32\3E25.tmp c:\docume~1\ALLUSE~1\LOCALS~1\Temp\msdubm.com Driver:: Folder:: Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run] "23111"=- FileLook:: DirLook:: Reboot::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
что с проблемой ?
скрипт выполнил. лог прилагаю. Проблема с вирусом исчезла уже после выполнения предыдущих скриптов.
По поводу паролей - у меня в total commander есть несколько ftp доступов к сайтом. нужно ли менять и эти пароли, а то это проблематично?
Менять все пароли
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Уважаемый(ая) bob66, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.