Здравствуйте! появился вирус в оперативной памяти = explorer.exe(984) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD. Нод32 пишет, что очистка невозможна
Printable View
Здравствуйте! появился вирус в оперативной памяти = explorer.exe(984) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD. Нод32 пишет, что очистка невозможна
Уважаемый(ая) [B]karalinka[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте.
Пофиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"](как пофиксить)[/URL]:
[CODE]
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: Version control - {6715B96F-A181-462F-AF5E-1E528722A70A} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
[/CODE]
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
var GlobalStartupFolder:string;
begin
GlobalStartupFolder:= RegKeyStrParamRead('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Common Startup');
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('E:\Documents and Settings\Administrator\Start Menu\Programs\Startup\Atomic Alarm Clock.lnk','');
QuarantineFile('E:\Documents and Settings\Administrator\Start Menu\Programs\Startup\RocketDock.lnk','');
QuarantineFile(GlobalStartupFolder + '\BTTray.lnk','');
QuarantineFile(GlobalStartupFolder + '\McAfee Security Scan Plus.lnk','');
QuarantineFile('E:\Documents and Settings\Administrator\Start Menu\Programs\Startup\grv9QKoWvWo.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('E:\WINDOWS\system32\ntshrui.dll','');
QuarantineFile('E:\WINDOWS\system32\btmmhook.dll','');
QuarantineFile('E:\System Volume Information\_restore{482EBB91-B24C-4295-8377-A6B5ACF6D9D5}\RP400\A0215056.exe','');
QuarantineFile('E:\D\3\P\C\I09\CNMBR188.DLL','');
QuarantineFile('Explorer.exewindowssystemsvcl32.vbs','');
QuarantineFile('E:\WINDOWS\system32\STacSV.exe','');
QuarantineFile('E:\Documents and Settings\Administrator\Start Menu\Programs\Startup\runtheme.exe','');
QuarantineFile('E:\Documents and Settings\Administrator\Application Data\dlrlkt.exe','');
QuarantineFile('E:\Documents and Settings\Administrator\csrss.exe','');
QuarantineFile('E:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX01.875\PhotoDesktop\PhotoDesktop.exe','');
DeleteFile('E:\Documents and Settings\Administrator\Application Data\dlrlkt.exe');
DeleteFile('E:\Documents and Settings\Administrator\csrss.exe');
DeleteFile('E:\Documents and Settings\Administrator\Start Menu\Programs\Startup\grv9QKoWvWo.exe');
ExecuteWizard('TSW',2,2,true);
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.
Сделайте логи RSIT:
[url]http://virusinfo.info/showthread.php?t=115256&p=859292#post859292[/url]
и приложите.
Сделано
При подключенном интернете выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
procedure FixServiceStart(ServiceName:string;);
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName) then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName);
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName, 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\' + ServiceName + ' исправлено на оригинальное.');
if (RegKeyIntParamRead('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName, 'Start') = 0) then
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName,'Start', 2);
AddToLog('Тип запуска службы ' + ServiceName + ' переведен в режим Авто.');
end;
end;
end;
end;
begin
ClearQuarantine;
ExecuteAVUpdate;
ExecuteStdScr(4);
DeleteFileMask('E:\ZXHWFtCggtroH3T','*.*', true);
DeleteDirectory('E:\ZXHWFtCggtroH3T');
DeleteFileMask('E:\Documents and Settings\Administrator\Application Data\ZXHWFtCggtroH3T','*.*', true);
DeleteDirectory('E:\Documents and Settings\Administrator\Application Data\ZXHWFtCggtroH3T');
FixServiceStart('wscsvc');
end.
[/CODE]
Скрипт будет выполняться несколько минут (обычно не больше 10), по окончании появится окно с сообщением о успешном выполнении скрипта.
После этого в папке AVZ\LOG появится файл вида virusinfo_files_<имя вашего компьютера>.zip.
Загрузите этот файл по этой ссылке:
[url]http://virusinfo.info/upload_clean.php[/url]
По окончании загрузки скопируйте информацию о загрузке и вставьте ее в ваше следующее сообщение.
Сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела Диагностика правил) и приложите в теме.
Ссылка не работает( не грузится файл
Зато проблема вроде бы исчезла
Подозрительного не обнаружил.
Рекомендую сменить все пароли.
Файл все-таки хотелось бы заполучить. Сколько он весит?
Можете его закачать на какой-нибудь файлообменник и дать ссылку?
Ок, огромное спасибо Файл весит 72 Мб
[url]http://www.fayloobmennik.net/1776894[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]42[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]