Помогите удалить вирус Win32/TrojanDownloader.Carberp.AD

Xoxt · 04.11.2011, 13:06

Здравствуйте

Проверка ESET NOD32 SMART SECURITY 5:
Оперативная память - модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна.
Троянец создает копии процесса svchost.exe и грузит процессор почти на все 100%.

safety · 04.11.2011, 13:34

сделайте образ автозапуска системы в uVS

обновите утилиту uVS до версии 3.71

или отсюда, для тех кто дружит с Avast (или GData)

Распаковать архив, запустить файл Start.exe
Появится окно программы - нажать "запустить под текущим пользователем".
Далее - Меню Файл - Сохранить Полный образ автозапуска.
Сохраненный файл копируем на файловый обмен (желательно чтобы был в архиве)
и ссылку добавляем на форум.
------
исправлено

Xoxt · 04.11.2011, 13:48

http://zalil.ru/31992313 папроль 131 Если я правильно понял что надо

safety · 04.11.2011, 13:58

закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

Код:

;uVS v3.72 BETA script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
addsgn 925277DA146AC1CC0B04504E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 Carberp

bl 3D1286D6937505826BA87512964A75F2 187904
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
chklst
delvir
delref HTTP://QIP.RU
delref HTTP://XTREME.WS/
deltmp
delnfr
regt 5
regt 18
restart

перезагрузка, пишем о старых и новых проблемах.

---------- Добавлено в 15:58 ---------- Предыдущее сообщение было написано в 15:55 ----------

+
скачайте программу malwarebytes (free version)
http://www.malwarebytes.org/mbam.php

установить (только сканер!(при установке отказываемся от пробного периода)),
обновить базы, выполнить быстрое сканирование,
после завершения сканирования,
текстовый лог (сохранить как файл) добавить в ваше сообщение на форум.

Xoxt · 04.11.2011, 14:07

ОООооо спсасибо вроде исчез не грузит систему

it is me · 07.11.2011, 18:49

я хочу обратиться по этой же проблеме, но вы не могли бы объяснить, как нужно делать образ автозапуска системы в uVS?

safety · 07.11.2011, 19:04

см. сообщение №2 в данной теме

it is me · 07.11.2011, 19:19

спасибо, сейчас разобралась. вот ссылка http://webfile.ru/5652437

safety · 07.11.2011, 19:45

закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

Код:

;uVS v3.72 BETA script [http://dsrt.dyndns.org]

delall %Sys32%\A399914.EXE
addsgn A7679B1BB96A4E720BE76E3A6974A0452503B11E007FB3867A3C969F91E5AAC16A904A1AA2DC1851D47F7B16DB86B70582896377D968F02CA6EA34D138F9196E 8 Carberp

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЖЕНЕЧКА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl C311600146981AED165098F80F076EBE 132608
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЖЕНЕЧКА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %Sys32%\KENSMV.EXE
chklst
delvir
delref HTTP://WWW.WINDOWSXLIVE.NET
deltmp
delnfr
regt 5
regt 18
czoo
restart

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту sendvirus2011@gmail.com
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

---------- Добавлено в 21:45 ---------- Предыдущее сообщение было написано в 21:45 ----------

+ далее,
--------------------------
скачайте программу malwarebytes (free version)
http://www.malwarebytes.org/mbam.php

установить (только сканер!(при установке отказываемся от пробного периода)),
обновить базы, выполнить быстрое сканирование,
после завершения сканирования,
текстовый лог (сохранить как файл) добавить в ваше сообщение на форум.

it is me · 07.11.2011, 20:16

спасибо большое, вирус исчез) сделала сканирование в malwarebytes, вот что вышло http://webfile.ru/5652607

safety · 07.11.2011, 20:26

удалите все вМБАМ, кроме

Цитата:

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

перезагрузка,
новый лог МБАМ

it is me · 07.11.2011, 20:38

в новом логе остались только 3 эти файла, больше ничего не нужно делать?

safety · 07.11.2011, 20:40

нет,
значит все нормально стало.

it is me · 07.11.2011, 20:43

ещё раз спасибо)

safety · 07.11.2011, 20:45

хорошо,
выполните наши рекомендации
-------
Установите Internet Explorer 8
даже если вы не используете его в качестве браузера
скачать отсюда
http://www.microsoft.com/rus/windows...r/default.aspx

если используете браузер Firefox
установите текущую версию
http://www.mozilla-europe.org/ru/firefox/

установите для Firefox дополнение NoScript для блокирования javascript,
https://addons.mozilla.org/ru/firefox/addon/722/
разрешайте использование javascript на доверенных сайтах,
или временно разрешить на данной странице.

установите дополнение AddBlock Plus
https://addons.mozilla.org/ru/firefox/addon/1865/

если установлено данное ПО:Java, Adobe Flash player, Acrobat REader,
обязательно обновите до текущих версий:

Java
http://www.java.com/ru/download/manual.jsp

Adobe Flash Player
http://get.adobe.com/ru/flashplayer/

Adobe Acrobat Reader
http://get.adobe.com/reader

04.11.2011, 13:06	#1 (ссылка)
Xoxt Новичок Регистрация: 04.11.2011 Сообщений: 3 Репутация: 0	Помогите удалить вирус Win32/TrojanDownloader.Carberp.AD Здравствуйте Проверка ESET NOD32 SMART SECURITY 5: Оперативная память - модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна. Троянец создает копии процесса svchost.exe и грузит процессор почти на все 100%.

04.11.2011, 13:48	#3 (ссылка)
Xoxt Новичок Регистрация: 04.11.2011 Сообщений: 3 Репутация: 0	образ http://zalil.ru/31992313 папроль 131 Если я правильно понял что надо

04.11.2011, 13:58	#4 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	закрыть браузеры перед выполнением скрипта выполнить скрипт в uVS меню - скрипты - выполнить скрипт из буфера обмена Код: ;uVS v3.72 BETA script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE addsgn 925277DA146AC1CC0B04504E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 Carberp bl 3D1286D6937505826BA87512964A75F2 187904 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE chklst delvir delref HTTP://QIP.RU delref HTTP://XTREME.WS/ deltmp delnfr regt 5 regt 18 restart перезагрузка, пишем о старых и новых проблемах. ---------- Добавлено в 15:58 ---------- Предыдущее сообщение было написано в 15:55 ---------- + скачайте программу malwarebytes (free version) http://www.malwarebytes.org/mbam.php установить (только сканер!(при установке отказываемся от пробного периода)), обновить базы, выполнить быстрое сканирование, после завершения сканирования, текстовый лог (сохранить как файл) добавить в ваше сообщение на форум.

07.11.2011, 19:45	#9 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	закрыть браузеры перед выполнением скрипта выполнить скрипт в uVS меню - скрипты - выполнить скрипт из буфера обмена Код: ;uVS v3.72 BETA script [http://dsrt.dyndns.org] delall %Sys32%\A399914.EXE addsgn A7679B1BB96A4E720BE76E3A6974A0452503B11E007FB3867A3C969F91E5AAC16A904A1AA2DC1851D47F7B16DB86B70582896377D968F02CA6EA34D138F9196E 8 Carberp zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЖЕНЕЧКА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl C311600146981AED165098F80F076EBE 132608 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЖЕНЕЧКА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %Sys32%\KENSMV.EXE chklst delvir delref HTTP://WWW.WINDOWSXLIVE.NET deltmp delnfr regt 5 regt 18 czoo restart перезагрузка, пишем о старых и новых проблемах. архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z) отправить в почту sendvirus2011@gmail.com если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected ---------- Добавлено в 21:45 ---------- Предыдущее сообщение было написано в 21:45 ---------- + далее, -------------------------- скачайте программу malwarebytes (free version) http://www.malwarebytes.org/mbam.php установить (только сканер!(при установке отказываемся от пробного периода)), обновить базы, выполнить быстрое сканирование, после завершения сканирования, текстовый лог (сохранить как файл) добавить в ваше сообщение на форум.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Вирус - Win32/TrojanDownloader.Carberp.AD	Stiks	Безопасность	12	17.12.2011 10:53
Вирус Win32/TrojanDownloader.Carberp.AD trojan	Denio	Безопасность	4	22.10.2011 19:58
Помогите удалить Win32/TrojanDownloader.Carberp.AD	Romka888	Безопасность	2	20.10.2011 12:12
Вирус - Win32.TrojanDownloader.Carberp.AD	JPall	Безопасность	3	16.10.2011 21:37
Вирус - Win32.TrojanDownloader.Carberp.AD	shiizk	Безопасность	3	16.10.2011 10:08

04.11.2011, 13:34	#2 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	сделайте образ автозапуска системы в uVS обновите утилиту uVS до версии 3.71 или отсюда, для тех кто дружит с Avast (или GData) Распаковать архив, запустить файл Start.exe Появится окно программы - нажать "запустить под текущим пользователем". Далее - Меню Файл - Сохранить Полный образ автозапуска. Сохраненный файл копируем на файловый обмен (желательно чтобы был в архиве) и ссылку добавляем на форум. ------ исправлено

04.11.2011, 14:07	#5 (ссылка)
Xoxt Новичок Регистрация: 04.11.2011 Сообщений: 3 Репутация: 0	ОООооо спсасибо вроде исчез не грузит систему

07.11.2011, 18:49	#6 (ссылка)
it is me Новичок Регистрация: 06.11.2011 Сообщений: 6 Репутация: 0	я хочу обратиться по этой же проблеме, но вы не могли бы объяснить, как нужно делать образ автозапуска системы в uVS?

07.11.2011, 19:04	#7 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	см. сообщение №2 в данной теме

07.11.2011, 19:19	#8 (ссылка)
it is me Новичок Регистрация: 06.11.2011 Сообщений: 6 Репутация: 0	спасибо, сейчас разобралась. вот ссылка http://webfile.ru/5652437

07.11.2011, 20:16	#10 (ссылка)
it is me Новичок Регистрация: 06.11.2011 Сообщений: 6 Репутация: 0	спасибо большое, вирус исчез) сделала сканирование в malwarebytes, вот что вышло http://webfile.ru/5652607

07.11.2011, 20:38	#12 (ссылка)
it is me Новичок Регистрация: 06.11.2011 Сообщений: 6 Репутация: 0	в новом логе остались только 3 эти файла, больше ничего не нужно делать?

07.11.2011, 20:40	#13 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	нет, значит все нормально стало.

07.11.2011, 20:43	#14 (ссылка)
it is me Новичок Регистрация: 06.11.2011 Сообщений: 6 Репутация: 0	ещё раз спасибо)

07.11.2011, 20:45	#15 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	хорошо, выполните наши рекомендации ------- Установите Internet Explorer 8 даже если вы не используете его в качестве браузера скачать отсюда http://www.microsoft.com/rus/windows...r/default.aspx если используете браузер Firefox установите текущую версию http://www.mozilla-europe.org/ru/firefox/ установите для Firefox дополнение NoScript для блокирования javascript, https://addons.mozilla.org/ru/firefox/addon/722/ разрешайте использование javascript на доверенных сайтах, или временно разрешить на данной странице. установите дополнение AddBlock Plus https://addons.mozilla.org/ru/firefox/addon/1865/ если установлено данное ПО:Java, Adobe Flash player, Acrobat REader, обязательно обновите до текущих версий: Java http://www.java.com/ru/download/manual.jsp Adobe Flash Player http://get.adobe.com/ru/flashplayer/ Adobe Acrobat Reader http://get.adobe.com/reader

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)