Win32/TrojanDownloader.Carberp.AM

[djproject]

Nod32 ругается на вирус.
Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(1396, 1402, 1408 модифицированный Win32/TrojanDownloader.Carberp.AM - цифры меняются каждый день)
Постоянно вылетает Mozilla Firefox, Chrome вообще не грузит страницы.

[Info_bot]

Уважаемый(ая) djproject, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Сделайте полный образ автозапуска uVS.

[djproject]

Сделал!

[regist]

- Проведите процедуру, которая описана тут. Ссылка на результат проверки напишите в сообщении здесь.

- Сделайте лог полного сканирования МВАМ.

- - - Добавлено - - -

+

HTTP=127.0.0.1:2080

прокси сами прописывали 7

[Vvvyg]

Понятно, загрузочный вирус.
Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа выдаст предупреждение на файл WINDOWS\system32\Drivers\sptd.sys, не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

[djproject]

делать процедуру или сразу переходить к следующему сообщению? "Скачайте, распакуйте и запустите TDSSKiller"?

[regist]

+ Выполните скрипт в uVS

Код:

;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

breg
zoo -K
delall -K
restart

- - - Добавлено - - -

делать процедуру или сразу переходить к следующему сообщению? "Скачайте, распакуйте и запустите TDSSKiller"?

делайте процедуру, а потом переходите .
Лог MBAM можете пока не делать, а остальное в той последовательности как написано здесь.
------------
+

1. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
   Код:

   tdsskiller.exe -silent -qmbr -qboot

2. Запустите файл fix.bat;
3. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
4. Заархивруйте эту папку с паролем virus. И и загрузите по ссылке Прислать запрошенный карантин вверху темы.

[djproject]

- Проведите процедуру, которая описана тут. Ссылка на результат проверки напишите в сообщении здесь.

- Сделайте лог полного сканирования МВАМ.

- - - Добавлено - - -

+
прокси сами прописывали 7

Возможно программа по выписке ж/д или авиабилетов использует прокси

- - - Добавлено - - -

TDSSKiller ничего не обнаружил. Папка TDSSkiller_Quarantine не создавалась! Иду дальше

[Vvvyg]

Запускали именно как как fix.bat?

[djproject]

Да, именно fix.bat. Перегрузил комп папка появилась! Прикрепляю!

- - - Добавлено - - -

А это нормально, что TDSSkiller ничего не обнаружил?

- - - Добавлено - - -

Кстати, при запуске fix.bat комп не перезагружался

- - - Добавлено - - -

"Прислать запрошенный карантин вверху темы." Файл прислал по ссылке в верху страницы!

[Vvvyg]

А это нормально, что TDSSkiller ничего не обнаружил?

Не то, чтобы нормально, но вполне возможно. Хорошо маскируется руткит, или не знаком с данной модификацией.

"Прислать запрошенный карантин вверху темы." Файл прислал по ссылке в верху страницы!

Из вложений уберите карантин!
Сделайте образ автозапуска uVS с Live CD.

[regist]

+ а остальные рекомендации выполняли ?

- Проведите процедуру, которая описана тут. Ссылка на результат проверки напишите в сообщении здесь.

где ссылка ?


+ скрипт Увс из поста №8 выполняли ? после скрипта, ничего не поменялось ?

[djproject]

Из 8 поста скрипт выполнял. Комп не перезагружался! Перегрузил вручную... Как именно должно было отразиться изменение? В Nod32 только утренняя запись об explorer.exe...


Ссылка на результат проверки: http://virusinfo.info/virusdetector/...D0D32B6DC0E4F3
Пишет все чисто

- - - Добавлено - - -

"- Сделайте лог полного сканирования МВАМ." - делать?
или делаю сразу "Сделайте образ автозапуска uVS с Live CD."???

[regist]

djproject, тоесть за всё это время Nod у вас только один раз выругался на эту угрозу ?
давайте для надёжности сделайте оба лога и лог MBAM и с Live CD

[djproject]

Не то, чтобы нормально, но вполне возможно. Хорошо маскируется руткит, или не знаком с данной модификацией.
Из вложений уберите карантин!
Сделайте образ автозапуска uVS с Live CD.

Сделал образ автозапуска! Выложить не могу, места свободного уже во Вложениях нет!

Осталось MBAM сделать...

[regist]

Выложить не могу, места свободного уже во Вложениях нет!

загрузите его сюда http://rghost.ru/ ссылка на скачивание укажите в своём сообщение.

[djproject]

Делаю MBAM. Очень медленно!
К сожалению все это делаю на рабочем компе и подругому никак.

- - - Добавлено - - -

загрузите его сюда http://rghost.ru/ ссылка на скачивание укажите в своём сообщение.

Файл образа с Live CD http://rghost.ru/45153731

[Vvvyg]

Попался: https://www.virustotal.com/ru/file/1...is/1365492360/

Сохраните скрипт из вложения в доступное с LIveCD место, загрузитесь снова с загрузочного диска. Запустите start.exe, далее так же "Выбрать каталог Windows", "Запустить под текущим пользователем". В меню "Скрипт" пункт "Выполнить" скрипт из файла...", загружаете файл скрипта Fixvbr.txt и выполняете его.
Вложение 413883
После перезагрузки с HDD проверьте проблему.

[djproject]

Выполнил скрипт! Нод32 пока ничего не говорит. Скинирую папку Windows...
Очень грузил комп MBAM, пришлось его снести. Комп старенький.