Nod обнаружил троян TrojanDownloader.Carberp.AF в оперативной памяти в explorer.exe очистка невозможна. Помогите.
Nod обнаружил троян TrojanDownloader.Carberp.AF в оперативной памяти в explorer.exe очистка невозможна. Помогите.
Уважаемый(ая) [B]bob66[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Обновите базы AVZ.
Если базы не обновляются через меню Файл - Обновление баз,
скачайте архив баз [url]http://z-oleg.com/secur/avz_up/avzbase.zip[/url]
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\STshMHdr.dll','');
QuarantineFile('C:\Documents and Settings\bob\Главное меню\Программы\Автозагрузка\R1XYNDkRdJk.exe','');
DeleteFile('C:\Documents and Settings\bob\Главное меню\Программы\Автозагрузка\R1XYNDkRdJk.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.
А также
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
карантин отправил логи сделал. а при запуске RSIT выдает ошибку в строке 7153
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
Этот ComboFix вынес мозг системе, заставил активировать винду, но лог как я понял создал не в корневой папке, как сказано в инструкции, а в своей. его и прилагаю. Кстати при перезагрузке, Nod опять ругнулся на вирус. прилагаю лог? который нашел.
Кстати при попытке любого телодвижения, будь то avz или еще что-то при перезагрузке, винда не загружается до конца, а выдает ошибку, еще пару раз перегружает машину и только потом загружается нормально. есть подозрение, что это связано с вирусом, который пытается восстанавливаться. возможно я ошибаюсь.
Запустите ComboFix еще раз и дождитесь окончания сбора лога. Ибо то, что Вы прикрепили - это какой-то обрывок
сделал повторный лог
Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на [B][COLOR="#0000CD"]диск С[/COLOR][/B]
[code]KillAll::
File::
c:\windows\system32\3E2E.tmp
c:\windows\system32\3E25.tmp
Driver::
Folder::
C:\9vO3wAguztYHhLe
c:\documents and settings\bob\Application Data\9vO3wAguztYHhLe
Registry::
FileLook::
DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://safezone.cc/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
все сделал как просили. лог прилагаю
Скопируйте текст ниже в Блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на диск С.
[code]
KillAll::
File::
c:\docume~1\ALLUSE~1\LOCALS~1\Temp\msdubm.com
c:\documents and settings\bob\Главное меню\Программы\Автозагрузка\R1XYNDkRdJk.exe
Driver::
Folder::
c:\documents and settings\bob\Application Data\9vO3wAguztYHhLe
C:\9vO3wAguztYHhLe
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"23111"=-
FileLook::
DirLook::
Reboot::
[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://safezone.cc/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.[/QUOTE]
все сделал. лог прилагаю. Что же это за зараза такая?
Вас дважды просили сохранить скрипт на [B]диск С[/B]!!! А Вы куда сохраняете?
Переделывайте
сделал последний скрипт на С. Или надо оба было переделать?
Скопируйте текст ниже в Блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на диск С.
[code]
KillAll::
File::
c:\windows\system32\3E2E.tmp
c:\windows\system32\3E25.tmp
c:\docume~1\ALLUSE~1\LOCALS~1\Temp\msdubm.com
Driver::
Folder::
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"23111"=-
FileLook::
DirLook::
Reboot::
[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://safezone.cc/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
что с проблемой ?
+ смените все пароли !
скрипт выполнил. лог прилагаю. Проблема с вирусом исчезла уже после выполнения предыдущих скриптов.
По поводу паролей - у меня в total commander есть несколько ftp доступов к сайтом. нужно ли менять и эти пароли, а то это проблематично?
Менять [B]все[/B] пароли