Nod обнаруживает вирус который не может удалить. Высвечивается окно с надписью "вероятно модифицированный win32/TrojanDownloader Carberp.AF троянская программа, и далее пишет что очистка невозможна. Помогите избавиться от вируса. Спасибо.
Nod обнаруживает вирус который не может удалить. Высвечивается окно с надписью "вероятно модифицированный win32/TrojanDownloader Carberp.AF троянская программа, и далее пишет что очистка невозможна. Помогите избавиться от вируса. Спасибо.
Уважаемый(ая) freemaan, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:Procedure FixUpdate; var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j < 10 then NumStr:='ControlSet00'+IntToStr(j) else if j < 100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end; end; SaveLog(GetAVZDirectory + 'FixUpdate.log'); end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Drivers\mfehidk.sys',''); QuarantineFile('C:\Documents and Settings\jeka\Главное меню\Программы\Автозагрузка\HyJ4S8upOzA.exe',''); DeleteFile('C:\Documents and Settings\jeka\Главное меню\Программы\Автозагрузка\HyJ4S8upOzA.exe'); BC_ImportAll; BC_Activate; ExecuteWizard('TSW',2,3,true); FixUpdate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Сделайте логи RSIT.
Сделайте лог полного сканирования МВАМ.
Спасибо, сделал.
Уведомление
Внимание !!! База поcледний раз обновлялась 20.05.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.39
Обновите базы и переделайте логи AVZ.
Удалите в MBAM всё найденное.
- - - Добавлено - - -
Смените все пароли
Удалите папки
повторите логи RSITКод:C:\taEcz10HR3MqvEU C:\OfCGogVvzcoe0XI C:\Program Files\ololo C:\Documents and Settings\jeka\Application Data\bObq4zb27Is C:\bObq4zb27Is C:\Documents and Settings\jeka\Application Data\taEcz10HR3MqvEU
Файл C:\WINDOWS\system32\mfevtps.exe.7749.deleteme и папку
TDSSkiller_Quarantine Заархивруйте с паролем virus. И virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
Последний раз редактировалось regist; 22.07.2012 в 17:34. Причина: поправил теги
Обновил, удалил, отправил.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:Procedure FixUpdate; var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j < 10 then NumStr:='ControlSet00'+IntToStr(j) else if j < 100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end; end; SaveLog(GetAVZDirectory + 'FixUpdate.log'); end; begin RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); ExecuteWizard('TSW',2,3,true); FixUpdate; RebootWindows(false); end.
Если поиск qip.ru установился без вашего согласия, то
Профиксите в HijackThis
Выполните скрипт в AVZ при наличии доступа в интернет:Код:R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://yandex.ru/yandsearch?clid=123046&text=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qip.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer предоставлен: Sibnet.ru R3 - URLSearchHook: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and Settings\Женя\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\jeka\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Код:begin if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt'); If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt') Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false); ExitAVZ; end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
не забудьте поменять пароли!
что с проблемой?
эту папку в карантине не вижу.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\jeka\\главное меню\\программы\\автозагрузка\\hyj4s8upoza.exe - Trojan-Ransom.Win32.Birele.sqf ( DrWEB: Trojan.Carberp.486, BitDefender: Gen:Variant.Kazy.78327, AVAST4: Win32:Shiz-OK [Trj] )
Уважаемый(ая) freemaan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.