07.02.2012 13:53:02 Модуль сканирования файлов, исполняемых при запуске системы файл
Оперативная память » explorer.exe(1452) модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа очистка невозможна
07.02.2012 13:53:02 Модуль сканирования файлов, исполняемых при запуске системы файл
Оперативная память » explorer.exe(1452) модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа очистка невозможна
Уважаемый(ая) laVya, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\q4UvfDfIuR8.exe',''); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\q4UvfDfIuR8.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
+ лог полного сканирования МВАМ. тоже приложите.
+ Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.
Выполните скрипт в АВЗ -
Выдает ошибку как на скринеКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\q4UvfDfIuR8.exe',''); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\q4UvfDfIuR8.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); end.
Сейчас добавлю и попробую
Последний раз редактировалось laVya; 08.02.2012 в 15:09.
первое
Файл сохранён как 120208_133258_virusinfo_files_MICROSOF-E43FEF_4f32798a8d5c8.zip
Размер файла 25963529
MD5 8d90aa70658cc194550be45cea5aab75
Лог полного сканирования МВАМ прикрепила
Последний раз редактировалось laVya; 08.02.2012 в 18:08.
потом на всякий случай сделайте ещё такой лог ComboFix
Какой то он очень уж категоричный. Удалил мне наверно все что считал ненужным. Установила,запустила проверку,скачала тулбар какой он просил,проверил 50 этапов и потом вышло сообщение о проверке дисков. Очень уж долго,никакой инфы в окне,только мигает курсор в командной строке. Пришлось отменить,т.к рабочий день заканчивается. А без этого лога нельзя? и куда он удаляет файлы? хотелось бы кое что восстановить. После отмены программы перезагрузила комп,выскочил брандмауэр,там все выключено. Раньше не выскакивал. Можно ли отключить его?
как востановить читайте здесь.
да можно, в его настройках заново его отключите.
не уверен что мы нашли всю заразу. Если лог MBAM сделали приложите пока его.
Добавлено через 1 минуту
кстати что с проблемой?
Последний раз редактировалось regist; 08.02.2012 в 20:03. Причина: Добавлено
лог MBAM прикрепила в сообщении №8. сообщение о вирусе выскакивало все так же. а что это может быть? меня заинтересовал файл в автозапуске q4UvfDfIuR8.exe,его видно даже в пуск-автозапуск. Завтра утром запущу ComboFix если это все таки требуется. А проверку дисков он долго делает? просто в это время как я поняла компом пользоваться нельзя,а если клиенты придут мне надо будет комп. Как быть? есть еще какие-нибудь методы?
Удалите в МВАМ только указанные ниже записиКод:D:\RECYCLER\S-1-5-21-1708537768-746137067-1202660629-500\Dd308.exe (PUP.SmsPay) -> Действие не было предпринято. D:\Валя\avz4\avz4\Quarantine\2012-02-08\avz00008.dta (Trojan.FakeMS) -> Действие не было предпринято. D:\Валя\avz4\avz4\Quarantine\2012-02-08\avz00029.dta (Trojan.Agent.CK) -> Действие не было предпринято. C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Удалила 4 отмеченных,вопрос насчет последнего
Если не сложно объясните что это за файлы? Особенно интересно "Пузыри" - за что он отвечает?
ОГРОМНОЕ ВАМ СПАСИБО! Вроде бы пока ничего не тормозит,загрузка процессора в норме,нод сообщений не выдает. А в чем именно проблема была? Вирус взялся из интернета? может какой-то другой браузер надо установть,более защищенный? Или вся загвоздка была в этой программе "TNod User & Password Finder"?
заставка экрана для windows, его можете востановить, также востановите odbcad32.exe
ieunitdrf.inf - это от вируса.
новый лог где? нужен контрольный лог после удаления.
скорей всего.Вирус взялся из интернета?
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Код:begin if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt'); If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt') Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false); ExitAVZ; end.
---------------
лог ComboFix всё-таки рекомендую сделать или как минимум просканировать весь компьтер с помощью CureIt или AVP tool (даже если сканировали перед созданием логов).
Последний раз редактировалось regist; 09.02.2012 в 16:05.
Уважаемый(ая) laVya, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.