вероятно модифицированный Win32/TrojanDownlo

natali-kuda · 03.05.2012, 15:05

Добрый день. Антивирус Nod32 пишет следующее: Оперативная память » Explorer.EXE(1396) вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна. Помогите пожалуйста, что с этим делать?

safety · 03.05.2012, 15:07

логи по правилам
http://pchelpforum.ru/f26/t6442/

natali-kuda · 04.05.2012, 16:22

AVZ : http://zalil.ru/33181273
http://zalil.ru/33181334

uVS : http://zalil.ru/33175202

RSIT : http://zalil.ru/33175459
http://zalil.ru/33175474

safety · 04.05.2012, 16:48

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.75 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CVR7Z0LESE8.EXE
addsgn A7679B1BB9F24C720BBCAEA1CA147A05CCA89C9E895081A4EF3C2DDA63D671CFE707903F3E5BBBF94380EE1D407CE1908BB7E8F48A6C58661E77A4AC03127419 8 tr.Carberp

zoo %Sys32%\DRIVERS\AEGISP.SYS
addsgn A7679B1BB9E64C720BBED3DB74A20E6FB6E00D1E7ADA1F780607D1EF003EDC65231740933ABD43562B80D214436EE9BA7D8F001D48DAB0AFE973F345B96C7F1B 8 tr.Carberp

bl 2190A7FC63BCCFEED431C746E9D51B5E 302120
delall %SystemDrive%\DOCUMENTS AND SETTINGS\1\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CVR7Z0LESE8.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\XTSYT7U7TKW.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\1\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\XTSYT7U7TKW.EXE
chklst
delvir
setdns 1394-соединение\4\{E6D595B5-884F-4DD4-94AB-881DEF376BCC}\
setdns Беспроводное сетевое соединение\4\{7834D3E1-56A3-4D4D-9AF0-38CE51C2A05E}\
setdns Подключение по локальной сети 2\4\{1EFC4687-1500-4D76-8C66-DAFA8102F8A5}\
setdns Подключение по локальной сети 4\4\{70D015E3-0076-4984-A2BE-45111CEB33B9}\
setdns Подключение по локальной сети\4\{C4C3D49B-D739-4701-A10D-AD538F8A1276}\
deltmp
delnfr
CZOO
EXEC cmd /c"ipconfig /flashdns"
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту sendvirus2011@gmail.com
----------
далее,
выполните быстрое сканирование в Malwarebytes

natali-kuda · 04.05.2012, 18:09

Все выполнила, теперь на этом компьютере не работает интернет(пишу с телефона). В провайдере МГТС сказали,
это потому что удалили сетевые драйвера. Где их взять? Какие теперь мои действия?

safety · 04.05.2012, 18:18

проблема не в драйверах, а в настройках DNS
-------------
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.75 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

setdns 1394-соединение\4\{E6D595B5-884F-4DD4-94AB-881DEF376BCC}\8.8.8.8,8.8.4.4
setdns Беспроводное сетевое соединение\4\{7834D3E1-56A3-4D4D-9AF0-38CE51C2A05E}\8.8.8.8,8.8.4.4
setdns Подключение по локальной сети 2\4\{1EFC4687-1500-4D76-8C66-DAFA8102F8A5}\8.8.8.8,8.8.4.4
setdns Подключение по локальной сети 4\4\{70D015E3-0076-4984-A2BE-45111CEB33B9}\8.8.8.8,8.8.4.4
setdns Подключение по локальной сети\4\{C4C3D49B-D739-4701-A10D-AD538F8A1276}\8.8.8.8,8.8.4.4
restart

перезагрузка, пишем о старых и новых проблемах.
----------

safety · 04.05.2012, 18:22

да, похоже, драйвер лишний зацепился, судя по скрипту
---------

Цитата:

Полное имя C:\WINDOWS\SYSTEM32\DRIVERS\AEGISP.SYS
Имя файла AEGISP.SYS
Тек. статус АКТИВНЫЙ драйвер в автозапуске

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ драйвер в автозапуске
Размер 21419 байт
Создан 05.01.2007 в 05:26:47
Изменен 05.01.2007 в 05:26:48
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя AegisP.sys
Версия файла 3.5.3.0
Описание IEEE 802.1X Protocol Driver
Производитель Meetinghouse Data Communications

Доп. информация на момент обновления списка
SHA1 8444D472EE521645995B4A9D2657F6F87BF17292
MD5 15E655BAA989444F56787EF558823643

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\AegisP\Imag ePath
ImagePath system32\DRIVERS\AegisP.sys
AegisP тип запуска: Авто (2)

если есть точки восстановления, откатите систему на ближайшую точку, но при этом возможно вирусы восстановятся.
-------
если инет заработает,
сделайте новые логи.

natali-kuda · 04.05.2012, 18:24

а как же мне теперь скопировать этот скрипт, если я на ноуте не работает интернет?

safety · 04.05.2012, 18:28

natali-kuda , выполните вначале скрипт из сообщения 6, если инет не восстановится после этого, тогда переходим к сообщению 7.

safety · 04.05.2012, 18:29

Цитата:

Сообщение от natali-kuda

а как же мне теперь скопировать этот скрипт, если я на ноуте не работает интернет?

выполните в uvs скрипт из файла.
файл скрипта скачать отсюда
http://rghost.ru/37909418

safety · 04.05.2012, 18:31

файл скрипта сможете переписать с телефона на ноут? если да, то выполните в uVS скрипт из данного Файла.

safety · 04.05.2012, 18:31

если ничего не получится, тогда откат системы к ближней точке восстановления.

natali-kuda · 04.05.2012, 20:10

Ура!! Интернет заработал после скрипта из сообщения №6. Спасибо, safety! Теперь какие действия? Сканирование в Malwarebytes?

safety · 04.05.2012, 20:41

хорошо,
да теперь сделайте быстрое сканирование в мбам

natali-kuda · 04.05.2012, 21:05

сделала быстрое сканирование, вот отчет http://zalil.ru/33183267

03.05.2012, 15:05	#1 (ссылка)
natali-kuda Новичок Регистрация: 18.04.2012 Сообщений: 13 Репутация: 0	вероятно модифицированный Win32/TrojanDownlo Добрый день. Антивирус Nod32 пишет следующее: Оперативная память » Explorer.EXE(1396) вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна. Помогите пожалуйста, что с этим делать?

04.05.2012, 18:18	#6 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	проблема не в драйверах, а в настройках DNS ------------- выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.75 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 setdns 1394-соединение\4\{E6D595B5-884F-4DD4-94AB-881DEF376BCC}\8.8.8.8,8.8.4.4 setdns Беспроводное сетевое соединение\4\{7834D3E1-56A3-4D4D-9AF0-38CE51C2A05E}\8.8.8.8,8.8.4.4 setdns Подключение по локальной сети 2\4\{1EFC4687-1500-4D76-8C66-DAFA8102F8A5}\8.8.8.8,8.8.4.4 setdns Подключение по локальной сети 4\4\{70D015E3-0076-4984-A2BE-45111CEB33B9}\8.8.8.8,8.8.4.4 setdns Подключение по локальной сети\4\{C4C3D49B-D739-4701-A10D-AD538F8A1276}\8.8.8.8,8.8.4.4 restart перезагрузка, пишем о старых и новых проблемах. ----------

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
explorer.exe(228) - вероятно модифицированный Win32/TrojanDownlo	Slenick	Безопасность	6	27.04.2012 15:05
Оперативная память = explorer.exe(524) - вероятно модифицированный Win32/TrojanDownlo	Taboshar	Безопасность	4	19.04.2012 17:42
Оперативная память = explorer.exe(600) - вероятно модифицированный Win32/TrojanDownlo	Chupac	Безопасность	1	18.04.2012 21:27
Оперативная память » svchost.exe(1460) - вероятно модифицированный Win32/TrojanDownlo	Dbrekmrf	Безопасность	1	05.03.2012 17:43
Помогите - Оперативная память » explorer.exe(604) модифицированный Win32/TrojanDownlo	Maler	Безопасность	3	06.12.2011 11:53

03.05.2012, 15:07	#2 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	логи по правилам http://pchelpforum.ru/f26/t6442/

04.05.2012, 16:22	#3 (ссылка)
natali-kuda Новичок Регистрация: 18.04.2012 Сообщений: 13 Репутация: 0	AVZ : http://zalil.ru/33181273 http://zalil.ru/33181334 uVS : http://zalil.ru/33175202 RSIT : http://zalil.ru/33175459 http://zalil.ru/33175474

04.05.2012, 18:09	#5 (ссылка)
natali-kuda Новичок Регистрация: 18.04.2012 Сообщений: 13 Репутация: 0	Все выполнила, теперь на этом компьютере не работает интернет(пишу с телефона). В провайдере МГТС сказали, это потому что удалили сетевые драйвера. Где их взять? Какие теперь мои действия?

04.05.2012, 18:24	#8 (ссылка)
natali-kuda Новичок Регистрация: 18.04.2012 Сообщений: 13 Репутация: 0	а как же мне теперь скопировать этот скрипт, если я на ноуте не работает интернет?

04.05.2012, 18:28	#9 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	natali-kuda , выполните вначале скрипт из сообщения 6, если инет не восстановится после этого, тогда переходим к сообщению 7.

04.05.2012, 18:31	#11 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	файл скрипта сможете переписать с телефона на ноут? если да, то выполните в uVS скрипт из данного Файла.

04.05.2012, 18:31	#12 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	если ничего не получится, тогда откат системы к ближней точке восстановления.

04.05.2012, 20:10	#13 (ссылка)
natali-kuda Новичок Регистрация: 18.04.2012 Сообщений: 13 Репутация: 0	Ура!! Интернет заработал после скрипта из сообщения №6. Спасибо, safety! Теперь какие действия? Сканирование в Malwarebytes?

04.05.2012, 20:41	#14 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	хорошо, да теперь сделайте быстрое сканирование в мбам

04.05.2012, 21:05	#15 (ссылка)
natali-kuda Новичок Регистрация: 18.04.2012 Сообщений: 13 Репутация: 0	сделала быстрое сканирование, вот отчет http://zalil.ru/33183267

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)