При загрузке nod 32 выдает сообщение о заражении оперативной памяти!
Win32/TrojanDownloader.Carberp.AD очистка не возможна
Что с этим делать?
При загрузке nod 32 выдает сообщение о заражении оперативной памяти!
Win32/TrojanDownloader.Carberp.AD очистка не возможна
Что с этим делать?
Уважаемый(ая) Андрей Ярков, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполнить скрипт:
Компьютер перезагрузится. Карантин прислать согласно правилам. БАЗЫ АВЗ обновить и переделать логи + сделать лог gmer(ссылка в подписи).Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\sysinit.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\5MUxpA0.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\0sF5SfM.exe',''); QuarantineFile('C:\WINDOWS\system32\thqojg.exe',''); QuarantineFile('C:\WINDOWS\system32\c543d0a6.exe',''); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier'); DeleteFile('C:\WINDOWS\system32\c543d0a6.exe'); DeleteFile('C:\WINDOWS\system32\thqojg.exe'); DeleteFile('\\?\globalroot\systemroot\system32\0sF5SfM.exe'); DeleteFile('\\?\globalroot\systemroot\system32\5MUxpA0.exe'); ClearHostsFile; BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось ARMA9000; 09.11.2011 в 12:47.
Выполнил присланный скрипт по ссылке отправил карантин из AVZ, переделал логи.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится 9m4cd6hr.exe (gmer)
И запустите cleanup.bat.Код:9m4cd6hr.exe -del service eyxrgzh 9m4cd6hr.exe -del file "C:\WINDOWS\system32\gitntiep.dll" 9m4cd6hr.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\eyxrgzh" 9m4cd6hr.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\eyxrgzh" 9m4cd6hr.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\eyxrgzh" 9m4cd6hr.exe -reboot
Компьютер перезагрузится!
Сделать новый лог gmer.
Запустил cleanup.bat, после перезагрузки проблемма осталась.
Зделал новые логи Gmer
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Documents and Settings\Администратор\Application Data\igfxtray.dat',''); DeleteFile('C:\Documents and Settings\Администратор\Application Data\igfxtray.dat'); QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\igfxtray.exe',''); DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\igfxtray.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BackupRegKey('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes', 'routes'); BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
В папке АВЗ появится папка Backup, в ней папка с именем текущей даты, в ней файл routes_<цыферки>.reg
Заархивируйте его и приложите здесь.
Повторите лог GMER и приложите.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
После первого скрипта в AVZ проблема решилась !
Послал Вам карантин и файл из папки Backup
Еще почистим немного.
Выполните скрипт в AVZ (как выполнить):
Код:begin RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes'); RegKeyCreate('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes'); end.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 18
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\администратор\\главное меню\\программы\\автозагрузка\\igfxtray.exe - Trojan-Spy.Win32.Carberp.azt ( DrWEB: Trojan.Carberp.10, BitDefender: Trojan.Generic.6814262, AVAST4: Win32:MalOb-IJ [Cryp] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Андрей Ярков, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.