Win32/TrojanDownloader.Carberp.AD

sAny74 · 17.12.2011, 16:06

http://zalil.ru/32299208
Вот такое нод32 выдал после установки Skymonk -17.12.2011 16:43:43 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1588) модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна MICROSOF-A1B574\s'Any
Убейте трояна пожалуйста.

---------- Добавлено в 16:06 ---------- Предыдущее сообщение было написано в 16:04 ----------

uvs_v373-такой запускал

Angel-iz-Ada · 17.12.2011, 16:10

Да тут целый набор

Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!

Код:

;uVS v3.73 script [http://dsrt.dyndns.org]

; C:\DOCUMENTS AND SETTINGS\S'ANY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZDUHSTXFN0O.EXE
addsgn 79132211B9EBA06A0AD4AE82A443C28C604E7563C505E087D64850F0AF298EC167977674EEDC0819D47F7BC9CDDEC26F3120178D6E0AC52AA4E294D038F901BB 16 Carberp

; C:\WINDOWS\KKHYU.SYS
addsgn A76D8B9A556ACC01098C6DE98C2EEDFADA8EF9F288FA1E909443C5BC29BF08651A3EC132C0123288D2B9BDE62F6F60C354DDDDC9DCF71149D13EC2518E605ECC 8 Rootkit.SYS

; C:\WINDOWS\APPPATCH\PJAABBK.EXE
addsgn A7679BF0AA024C130BC4C6754EC80261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C13E0848F75C4C32EF4CAACFC51CA3BE4AC965B2FC706AB7E 16 Spy.Shiz

delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
delref HTTP://WWW.MAIL.RU/CNT/8730
delref HTTP://WWW.MAIL.RU/CNT/9514
bl F02A78F47DA16F191C780A756692DC31 167936
delall %SystemDrive%\DOCUMENTS AND SETTINGS\S'ANY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZDUHSTXFN0O.EXE
delref %SystemDrive%\DOCUME~1\S'ANY\LOCALS~1\TEMP\TRUTIL.SYS
bl 0C205B697936A06CC2085F1458C09F78 278528
delall %SystemRoot%\APPPATCH\PJAABBK.EXE
deltmp
delnfr
regt 1
regt 3
regt 2
regt 13
regt 12
regt 18
regt 17
sreg
delref %SystemRoot%\KKHYU.SYS
areg

И жмем Выполнить. ПК перезагрузится.
После перезагрузки сделать лог Malwarebytes и выложить сюда

sAny74 · 17.12.2011, 18:39

лог
http://zalil.ru/32300238

Angel-iz-Ada · 17.12.2011, 18:43

Удалите все записи кроме этих:

Код:

Зараженные файлы:
c:\program files\total commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> No action taken.
c:\program files\total commander\Utils\SFX Tool\Upack.exe (Malware.Packer.Gen) -> No action taken.

После перезагрузки сделайте сканирование оперативной памяти в Nod32

sAny74 · 17.12.2011, 19:04

Сделал сканирование
Журнал проверки
Версия базы данных сигнатур вирусов: 6709 (20111213)
Дaтa: 17.12.2011 Время: 20:01:39
Просканированные диски, папки и файлы: Оперативная память
Количество просканированных объектов: 365
Количество обнаруженных угроз: 0
Время выполнения: 20:01:41 Общее время проверки: 2 сек. (00:00:02)

Теперь у меня всё чисто?

Angel-iz-Ada · 17.12.2011, 19:05

Да, чисто.
При наличии на ПК доступа в интернет выполните следующий скрипт в AVZ:

Код:

begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.

sAny74 · 17.12.2011, 19:23

Сделал.
Огромное спасибо. Неожиданно быстро работаете, я восхищен!

17.12.2011, 16:06	#1 (ссылка)
sAny74 Новичок Регистрация: 17.12.2011 Сообщений: 4 Репутация: 0	Win32/TrojanDownloader.Carberp.AD http://zalil.ru/32299208 Вот такое нод32 выдал после установки Skymonk -17.12.2011 16:43:43 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1588) модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна MICROSOF-A1B574\s'Any Убейте трояна пожалуйста. ---------- Добавлено в 16:06 ---------- Предыдущее сообщение было написано в 16:04 ---------- uvs_v373-такой запускал

17.12.2011, 18:43	#4 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	Удалите все записи кроме этих: Код: Зараженные файлы: c:\program files\total commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> No action taken. c:\program files\total commander\Utils\SFX Tool\Upack.exe (Malware.Packer.Gen) -> No action taken. После перезагрузки сделайте сканирование оперативной памяти в Nod32

17.12.2011, 19:05	#6 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	Да, чисто. При наличии на ПК доступа в интернет выполните следующий скрипт в AVZ: Код: begin if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt'); If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt') Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false); ExitAVZ; end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Win32/TrojanDownloader.Carberp.AF	jalt	Безопасность	4	15.12.2011 13:56
Win32/TrojanDownloader.Carberp.AF	kon19	Безопасность	18	26.11.2011 22:13
Win32/TrojanDownloader.Carberp.AF	Leshiy	Безопасность	3	24.11.2011 20:29
Win32/TrojanDownloader.Carberp.AD	Shake	Безопасность	5	12.11.2011 01:19
Win32/TrojanDownloader.Carberp.AD	employe	Безопасность	4	07.11.2011 07:55

17.12.2011, 18:39	#3 (ссылка)
sAny74 Новичок Регистрация: 17.12.2011 Сообщений: 4 Репутация: 0	лог http://zalil.ru/32300238

17.12.2011, 19:04	#5 (ссылка)
sAny74 Новичок Регистрация: 17.12.2011 Сообщений: 4 Репутация: 0	Сделал сканирование Журнал проверки Версия базы данных сигнатур вирусов: 6709 (20111213) Дaтa: 17.12.2011 Время: 20:01:39 Просканированные диски, папки и файлы: Оперативная память Количество просканированных объектов: 365 Количество обнаруженных угроз: 0 Время выполнения: 20:01:41 Общее время проверки: 2 сек. (00:00:02) Теперь у меня всё чисто?

17.12.2011, 19:23	#7 (ссылка)
sAny74 Новичок Регистрация: 17.12.2011 Сообщений: 4 Репутация: 0	Сделал. Огромное спасибо. Неожиданно быстро работаете, я восхищен!

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads