Посточнно: "Оперативная память » explorer.exe(1964)"

[Techno]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск C.

Код:

KillAll::

File::

Driver::

NetSvc::

Folder::
c:\documents and settings\Serg\Application Data\usVGhvDaxUhOlvk
C:\usVGhvDaxUhOlvk
Registry::

FileLook::

DirLook::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Добавлено через 32 секунды

Что с проблемой?

[thyrex]

А также

c:\windows\system32\sfcfiles.dll проверьте на www.virustotal.com
Ссылку на результат проверки пришлите

Внимание: virustotal может Вам выдать ссылку на результат проверки около 2-х месяцев назад. Нужно проверить повторно

[Depart]

1. NOD32 теперь выдает: Оперативная память » svchost.exe(2424) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

2. Цитата: thyrex

А также

c:\windows\system32\sfcfiles.dll проверьте на www.virustotal.com
Ссылку на результат проверки пришлите

Внимание: virustotal может Вам выдать ссылку на результат проверки около 2-х месяцев назад. Нужно проверить повторно

Ссылку правильно отправляю? https://www.virustotal.com/file/f263...is/1330253589/

3. Сделал ComboFix.
Отправляю (правильно?).

[Depart]

Наверное сильно меня заколдовали .... или я что-то не так делаю

[Techno]

или я что-то не так делаю

Все так.

Удалите папки:

Код:

c:\documents and settings\Serg\Application Data\usVGhvDaxUhOlvk
C:\usVGhvDaxUhOlvk

Перезагрузите компьютер и посмотрите не появились ли они снова.

Что с проблемами?

[Depart]

Извините за туповатость, но удалить просто не получается: "Не удается удалить файл. Не удается произвести чтение из файла или с диска." Может какой-то программой?
Вторую папку не нашел.

[Techno]

- Выполните в АВЗ:

Код:

begin
 SetAVZGuardStatus(True);
 DeleteFileMask('c:\documents and settings\Serg\Application Data\usVGhvDaxUhOlvk','*',true);
 DeleteDirectory('c:\documents and settings\Serg\Application Data\usVGhvDaxUhOlvk');
 DeleteFileMask('C:\usVGhvDaxUhOlvk','*',true);
 DeleteDirectory('C:\usVGhvDaxUhOlvk');
 RebootWindows(true);
end.

Компьютер перезагрузится

Посмотрите удалилась ли папка.

[Depart]

Выполнил.
Папка удалилась.
Жду дальнейших указаний.

[Techno]

- Удалите ComboFix

В логах порядок. Что с проблемой?
Смените все пароли.

[Depart]

- Удалите ComboFix

В логах порядок. Что с проблемой?
Смените все пароли.

Удалил.
Сделал OTCleanIt.
Компьютер перезагрузился.
NOD32:Оперативная память » explorer.exe(272) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна
Что не так?

[Techno]

- Сделайте лог RSIT.

Повторите логи АВЗ

[Depart]

Сделано.
Жду дальнейших указаний.

[Techno]

- Выполните в АВЗ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\3ns7455y.exe','');
DeleteFileMask('C:\1erWbn8eFPDHzod','*',true);
DeleteDirectory('C:\1erWbn8eFPDHzod');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.


Сделайте лог полного сканирования MBAM.

[Depart]

Отправить quarantine.zip не получается - соединение сбрасывается.
Отправить virus.zip - тоже самое.
Может что-то не так делаю?

Лог MBAM:

[Techno]

Удалите в MBAM:

Код:

C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

Файл C:\3ns7455y.exe проверьте на https://www.virustotal.com/ ссылку на результат проверки оставьте в следующем сообщении.

[Depart]

Удалите в MBAM:

Код:

C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

Файл C:\3ns7455y.exe проверьте на https://www.virustotal.com/ ссылку на результат проверки оставьте в следующем сообщении.

1. Удалил.
2. На файл C:\3ns7455y.exe программа virustotal.com возмущается:"File too large
The submitted file execeeds the 32MB size limit".
Вообще-то это Dr.Web CureIt!.

Жду дальнейших указаний.

[миднайт]

CureIt думаю проверять нет смысла Что с проблемами сейчас?

[Depart]

CureIt думаю проверять нет смысла Что с проблемами сейчас?

Включил компьютер. Что же не так?
Всё на том же месте (копия с экрана):

[Techno]

- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

После обновлений:

- Сделайте лог ComboFix.

[Depart]

Извиняюсь за запаздывание - комп дома, а работы много... Только добрался...

1. Скрипт выполнил.
2. Открыл.
3. По ссылкам и обновлениям:
1) Adobe Flash Player переустановлен.
2) Adobe Acrobat не удаляется: "Error 1327. Invalid Drive: R:\".
3) Java переустановлен.
4) Quick Time не удаляется и не переустанавливается: "Error 1327. Invalid Drive: R:\".
4. Перегрузил.
5. Повторил (прикреплен).

Лог ComboFix выполнил.