В данном разделе выполняем скрипты лечения и рекомендации только от специалистов нашего форума: rp55rp55, safety, Vvvyg, Arkalik, ZloyDi, Гризлик

Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна

отредактировано April 2012 Раздел: Форум лечения заражений
18.04.2012 8:02:19 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(2256) вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна WORK\User_142

файл образа автозапуска здесь
http://zalil.ru/33097069
тяжело в учении, легко в лечении.

Комментарии

  • отредактировано April 2012 PM
    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    ;uVS v3.74 script [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    zoo %Sys32%\XTGINA.DLL
    addsgn A76592C9033DCF0F07D5DBB48CD41205256257FC89FAE00D953CB0B0AFA379ED2327C347C185C217704946934643C01FFE33E4253FDADADAC50AAF2FC78F678B 64 RDPdoor
    zoo %Sys32%\MSWXMKSL.EXE
    addsgn 964D779A556A19FBEEBE51D978E853054D10ECB689AA7BF1A0C3C5BC50559D5C704194DE5BBDCD9017A4E21E4A3249F9A4F3CCF191DEDA2C4777CC07E747221B 13 tr.Agent
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\M4E0K18VKJA.EXE
    addsgn A7679B1BB9F24C720BBCAEA1CA147A05CCA89C9E895081A4EF3C2DDA63D671CFE707903F3E5BBBF94380EE1D407CE1908BB7E8F48A6C58661E77A4AC03127419 8 tr.Carberp
    bl 2F00381FB9E7AEC54D523D3251ACE134 299560
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\M4E0K18VKJA.EXE
    delall %Sys32%\MSWXMKSL.EXE
    addsgn A7679B19B93AA4AA3CD4AEE2ED8DC26D251ABCD461122678854001B806BCB02423BDEEAD54C9759B1180841C821A1E90BDB7E80B03C0DAD9C523982FC785E67F 8 tr.Carberp
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\JQSK9WSINO0.EXE
    bl FEED27537AEFF3747A652F92798091AB 184320
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\JQSK9WSINO0.EXE
    delall %Sys32%\XTGINA.DLL
    chklst
    delvir
    deltmp
    delnfr
    setdns Local\4\{B0D2B843-5410-4032-8651-46D22AF435AE}\
    setdns Подключение по локальной сети 2\4\{51FF7190-9224-4085-BA1E-CE21510EA33F}\
    setdns Подключение по локальной сети 3\4\{38D6D195-DB0E-4C27-943A-ED08A564CFD8}\
    setdns Подключение по локальной сети\4\{D8740166-E042-456B-8174-401A0855CB92}\
    EXEC cmd /c"ipconfig /flushdns"
    restart
    перезагрузка, пишем о старых и новых проблемах.
    архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected]
    ----------
    далее,
    создайте новый образ автозапуска.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • новый образ автозапуска здесь
    http://zalil.ru/33097090
    тяжело в учении, легко в лечении.
  • отредактировано April 2012 PM
    выполняем скрипт в uVS в безопасном режиме
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    ;uVS v3.74 script [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1

    delall %Sys32%\BETWINSERVICEXP.EXE
    delall %Sys32%\DRIVERS\BETWINKF.SYS
    delall %Sys32%\DRIVERS\BETWINMF.SYS
    delall %Sys32%\DRIVERS\BETWINSYSTEM.SYS
    delall %Sys32%\DRIVERS\BETWINVF.SYS
    deltmp
    delnfr
    restart
    перезагрузка, пишем о старых и новых проблемах.
    ----------
    далее,
    выполните быстрое сканирование в малваребайт
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Nod32 выдает: Оперативная память = explorer.exe(1796) модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа очистка невозможна. Помогите пожалуйста.
    Лог UVS - http://rghost.ru/44849222
  • set32,
    добавьте лог журнала обнаружения угроз

    +
    сделайте образ автозапуска в uVS из безопасного режима системы
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.