Помогите! NOD32 выдает это: "Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1876) вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна"
Printable View
Помогите! NOD32 выдает это: "Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1876) вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна"
Уважаемый(ая) [B]KAMERON[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Логи RSIT
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\KAMERON\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\3DlpZ3XfU3I.exe','');
QuarantineFileF('C:\9vO3wAguztaVX5r','*', true,'',0 ,0);
QuarantineFileF('C:\Users\KAMERON\AppData\Roaming\9vO3wAguztaVX5r','*', true,'',0 ,0);
DeleteFile('C:\Users\KAMERON\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\3DlpZ3XfU3I.ex');
DeleteFileMask('C:\9vO3wAguztaVX5r', '*', true);
DeleteFileMask('C:\Users\KAMERON\AppData\Roaming\9vO3wAguztaVX5r', '*', true);
DeleteDirectory('C:\9vO3wAguztaVX5r',' ');
DeleteDirectory('C:\Users\KAMERON\AppData\Roaming\9vO3wAguztaVX5r',' ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]
Лог
Проблема вроде ушла
[url=http://virusinfo.info/showpost.php?p=457118&postcount=1]Удалите в MBAM [/url] только
[CODE]D:\System Volume Information\_restore{4531842B-31E8-4EFF-A600-940FD8DAC0B4}\RP4\A0008170.exe (Trojan.Armin) -> Действие не было предпринято.
D:\System Volume Information\_restore{4531842B-31E8-4EFF-A600-940FD8DAC0B4}\RP4\A0008657.exe (Malware.Packer.Gen) -> Действие не было предпринято.
D:\System Volume Information\_restore{9F7D2EC3-D189-4460-8384-D2701C1D142B}\RP20\A0000737.exe (Malware.Packer.Gen) -> Действие не было предпринято.
D:\Бекап флешки\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Worm.Conficker.H) -> Действие не было предпринято.
E:\System Volume Information\_restore{82963AEA-439D-4D91-A163-180DC81A3BD4}\RP111\A0050813.exe (Trojan.Dropper.PGen) -> Действие не было предпринято.
F:\System Volume Information\_restore{4531842B-31E8-4EFF-A600-940FD8DAC0B4}\RP4\A0008197.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
F:\System Volume Information\_restore{4531842B-31E8-4EFF-A600-940FD8DAC0B4}\RP4\A0008198.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
F:\System Volume Information\_restore{4531842B-31E8-4EFF-A600-940FD8DAC0B4}\RP4\A0012056.exe (Adware.Agent) -> Действие не было предпринято.
F:\System Volume Information\_restore{4531842B-31E8-4EFF-A600-940FD8DAC0B4}\RP5\A0029178.exe (Adware.Agent) -> Действие не было предпринято.
F:\System Volume Information\_restore{8607FAEB-C768-428F-BF50-DFCCFDD7AB11}\RP20\A0008785.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
F:\System Volume Information\_restore{8607FAEB-C768-428F-BF50-DFCCFDD7AB11}\RP20\A0008786.exe (Trojan.Downloader) -> Действие не было предпринято.
F:\System Volume Information\_restore{8607FAEB-C768-428F-BF50-DFCCFDD7AB11}\RP20\A0008805.exe (Trojan.Agent.CK) -> Действие не было предпринято.[/CODE]
[size="1"][color="#666686"][B][I]Добавлено через 25 секунд[/I][/B][/color][/size]
+ Откройте файл [url=http://df.ru/~kad/ScanVuln.txt][B]ScanVuln.txt[/B][/url]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
+ Проведите процедуру, которая описана в первом сообщении [url=http://virusinfo.info/showthread.php?t=3519][B]тут[/B][/url]. Результат загрузки напишите в сообщении здесь.
Файл сохранён как 120307_173959_virusinfo_files_KAMERON-PC_4f579d6f78760.zip
Размер файла 18498465
MD5 78d8858ab5555dba601a486214d05c0d
Спасибо за помощь :)
[B]Смените все пароли[/B]
Сделайте новые логи RSIT
Сменил.
Лог
Порядок
Спасибо за помощь :)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\9vo3waguztavx5r\\klpclst.dat - [B]Trojan.Script.Carberp.a[/B] ( DrWEB: Trojan.Carberp.30, BitDefender: Trojan.Script.475827, AVAST4: BV:Carberp-F [Trj] )[/LIST][/LIST]