Посточнно: "Оперативная память » explorer.exe(1964)"

Printable View

Показывать 40 сообщений этой темы на одной странице

26.02.2012, 14:07
Techno

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск C.
[code]
KillAll::

File::

Driver::

NetSvc::

Folder::
c:\documents and settings\Serg\Application Data\usVGhvDaxUhOlvk
C:\usVGhvDaxUhOlvk
Registry::

FileLook::

DirLook::
Reboot::
[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://safezone.cc/images/cfscript.gif[/IMG]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[size="1"][color="#666686"][B][I]Добавлено через 32 секунды[/I][/B][/color][/size]

Что с проблемой?
26.02.2012, 14:13
thyrex

А также

c:\windows\system32\sfcfiles.dll проверьте на [url]www.virustotal.com[/url]
Ссылку на результат проверки пришлите

Внимание: virustotal может Вам выдать ссылку на результат проверки около 2-х месяцев назад. [B]Нужно проверить повторно[/B]
26.02.2012, 15:05
Depart

Вложений: 1

1. NOD32 теперь выдает: [B]Оперативная память » svchost.exe(2424) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна[/B]

2. Цитата: [I][B][B]thyrex

А также

c:\windows\system32\sfcfiles.dll проверьте на [url]www.virustotal.com[/url]
Ссылку на результат проверки пришлите

Внимание: virustotal может Вам выдать ссылку на результат проверки около 2-х месяцев назад. Нужно проверить повторно [/B][/B][/I]

Ссылку правильно отправляю? [url]https://www.virustotal.com/file/f2632796e5aa741e56f6b570feaf630398c19141ba604b2a8464df0b8bca1a83/analysis/1330253589/[/url]

3. Сделал ComboFix.
Отправляю (правильно?).
26.02.2012, 17:06
Depart

Наверное сильно меня заколдовали :D.... или я что-то не так делаю :?
26.02.2012, 17:11
Techno

[quote="Depart;871839"]или я что-то не так делаю[/quote]
Все так.

Удалите папки:
[CODE]c:\documents and settings\Serg\Application Data\usVGhvDaxUhOlvk
C:\usVGhvDaxUhOlvk[/CODE]

Перезагрузите компьютер и посмотрите не появились ли они снова.

Что с проблемами?
26.02.2012, 17:27
Depart

Извините за туповатость, но удалить просто не получается: "Не удается удалить файл. Не удается произвести чтение из файла или с диска." Может какой-то программой?
Вторую папку не нашел.
26.02.2012, 17:46
Techno

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SetAVZGuardStatus(True);
DeleteFileMask('c:\documents and settings\Serg\Application Data\usVGhvDaxUhOlvk','*',true);
DeleteDirectory('c:\documents and settings\Serg\Application Data\usVGhvDaxUhOlvk');
DeleteFileMask('C:\usVGhvDaxUhOlvk','*',true);
DeleteDirectory('C:\usVGhvDaxUhOlvk');
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

Посмотрите удалилась ли папка.
26.02.2012, 17:58
Depart

Выполнил.
Папка удалилась.
Жду дальнейших указаний.
26.02.2012, 18:03
Techno

- [URL="http://virusinfo.info/showthread.php?t=58309&p=500136&viewfull=1#post500136"]Удалите ComboFix[/URL]

В логах порядок. Что с проблемой?
[COLOR="#FF0000"]Смените все пароли.[/COLOR]
26.02.2012, 18:19
Depart

[QUOTE=Techno;871855]- [URL="http://virusinfo.info/showthread.php?t=58309&p=500136&viewfull=1#post500136"]Удалите ComboFix[/URL]

В логах порядок. Что с проблемой?
[COLOR="#FF0000"]Смените все пароли.[/COLOR][/QUOTE]

Удалил.
Сделал OTCleanIt.
Компьютер перезагрузился.
NOD32:[B]Оперативная память » explorer.exe(272) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна[/B]
Что не так?
26.02.2012, 18:25
Techno

- [URL="http://virusinfo.info/showthread.php?t=115256"]Сделайте лог RSIT[/URL].

Повторите логи АВЗ
26.02.2012, 19:41
Depart

Вложений: 4

Сделано.
Жду дальнейших указаний.
26.02.2012, 21:05
Techno

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\3ns7455y.exe','');
DeleteFileMask('C:\1erWbn8eFPDHzod','*',true);
DeleteDirectory('C:\1erWbn8eFPDHzod');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

[URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL].
26.02.2012, 22:34
Depart

Вложений: 1

Отправить quarantine.zip не получается - соединение сбрасывается.
Отправить virus.zip - тоже самое.
Может что-то не так делаю?

Лог MBAM:
26.02.2012, 22:43
Techno

[URL="http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584"]Удалите в MBAM[/URL]:
[CODE]C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.[/CODE]

Файл [B]C:\3ns7455y.exe[/B] проверьте на [url]https://www.virustotal.com/[/url] ссылку на результат проверки оставьте в следующем сообщении.
26.02.2012, 23:51
Depart

Вложений: 1

[QUOTE=Techno;871929][URL="http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584"]Удалите в MBAM[/URL]:
[CODE]C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.[/CODE]

Файл [B]C:\3ns7455y.exe[/B] проверьте на [url]https://www.virustotal.com/[/url] ссылку на результат проверки оставьте в следующем сообщении.[/QUOTE]

1. Удалил.
2. На файл C:\3ns7455y.exe программа virustotal.com возмущается:[B]"File too large
The submitted file execeeds the 32MB size limit".
[/B] Вообще-то это Dr.Web CureIt!.

Жду дальнейших указаний.
27.02.2012, 00:41
миднайт

CureIt думаю проверять нет смысла :) Что с проблемами сейчас?
27.02.2012, 19:59
Depart

Вложений: 1

[QUOTE=миднайт;871959]CureIt думаю проверять нет смысла :) Что с проблемами сейчас?[/QUOTE]

Включил компьютер. [B]Что же не так?[/B]
Всё на том же месте (копия с экрана):
28.02.2012, 02:12
Techno

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в AVZ[/URL] скрипт из файла [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]
- Откройте файл [B]avz_log.txt[/B] из под-папки [B]LOG[/B].
- Пройдитесь по ссылкам из файла [B]avz_log.txt[/B] и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

После обновлений:

- [URL="http://virusinfo.info/showthread.php?t=58309"]Сделайте лог ComboFix[/URL].
28.02.2012, 23:27
Depart

Вложений: 2

Извиняюсь за запаздывание - комп дома, а работы много... Только добрался...

1. Скрипт выполнил.
2. Открыл.
3. По ссылкам и обновлениям:
1) Adobe Flash Player переустановлен.
2) [B]Adobe Acrobat не удаляется: [I]"Error 1327. Invalid Drive: R:\"[/I].[/B]
3) Java переустановлен.
4) [B]Quick Time не удаляется и не переустанавливается: [I]"Error 1327. Invalid Drive: R:\"[/I].[/B]
4. Перегрузил.
5. Повторил (прикреплен).

Лог ComboFix выполнил.

Показывать 40 сообщений этой темы на одной странице