03.05.2012, 15:05 | #1 (ссылка) |
Новичок
Регистрация: 18.04.2012
Сообщений: 13
Репутация: 0
|
вероятно модифицированный Win32/TrojanDownlo
Добрый день. Антивирус Nod32 пишет следующее: Оперативная память » Explorer.EXE(1396) вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна. Помогите пожалуйста, что с этим делать?
|
03.05.2012, 15:07 | #2 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
логи по правилам
http://pchelpforum.ru/f26/t6442/ |
04.05.2012, 16:48 | #4 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код:
;uVS v3.75 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CVR7Z0LESE8.EXE addsgn A7679B1BB9F24C720BBCAEA1CA147A05CCA89C9E895081A4EF3C2DDA63D671CFE707903F3E5BBBF94380EE1D407CE1908BB7E8F48A6C58661E77A4AC03127419 8 tr.Carberp zoo %Sys32%\DRIVERS\AEGISP.SYS addsgn A7679B1BB9E64C720BBED3DB74A20E6FB6E00D1E7ADA1F780607D1EF003EDC65231740933ABD43562B80D214436EE9BA7D8F001D48DAB0AFE973F345B96C7F1B 8 tr.Carberp bl 2190A7FC63BCCFEED431C746E9D51B5E 302120 delall %SystemDrive%\DOCUMENTS AND SETTINGS\1\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CVR7Z0LESE8.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\XTSYT7U7TKW.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\1\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\XTSYT7U7TKW.EXE chklst delvir setdns 1394-соединение\4\{E6D595B5-884F-4DD4-94AB-881DEF376BCC}\ setdns Беспроводное сетевое соединение\4\{7834D3E1-56A3-4D4D-9AF0-38CE51C2A05E}\ setdns Подключение по локальной сети 2\4\{1EFC4687-1500-4D76-8C66-DAFA8102F8A5}\ setdns Подключение по локальной сети 4\4\{70D015E3-0076-4984-A2BE-45111CEB33B9}\ setdns Подключение по локальной сети\4\{C4C3D49B-D739-4701-A10D-AD538F8A1276}\ deltmp delnfr CZOO EXEC cmd /c"ipconfig /flashdns" restart архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту sendvirus2011@gmail.com ---------- далее, выполните быстрое сканирование в Malwarebytes |
04.05.2012, 18:18 | #6 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
проблема не в драйверах, а в настройках DNS
------------- выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код:
;uVS v3.75 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 setdns 1394-соединение\4\{E6D595B5-884F-4DD4-94AB-881DEF376BCC}\8.8.8.8,8.8.4.4 setdns Беспроводное сетевое соединение\4\{7834D3E1-56A3-4D4D-9AF0-38CE51C2A05E}\8.8.8.8,8.8.4.4 setdns Подключение по локальной сети 2\4\{1EFC4687-1500-4D76-8C66-DAFA8102F8A5}\8.8.8.8,8.8.4.4 setdns Подключение по локальной сети 4\4\{70D015E3-0076-4984-A2BE-45111CEB33B9}\8.8.8.8,8.8.4.4 setdns Подключение по локальной сети\4\{C4C3D49B-D739-4701-A10D-AD538F8A1276}\8.8.8.8,8.8.4.4 restart ---------- |
04.05.2012, 18:22 | #7 (ссылка) | |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
да, похоже, драйвер лишний зацепился, судя по скрипту
--------- Цитата:
------- если инет заработает, сделайте новые логи. |
|
04.05.2012, 18:29 | #10 (ссылка) | |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
Цитата:
файл скрипта скачать отсюда http://rghost.ru/37909418 |
|
04.05.2012, 21:05 | #15 (ссылка) |
Новичок
Регистрация: 18.04.2012
Сообщений: 13
Репутация: 0
|
сделала быстрое сканирование, вот отчет http://zalil.ru/33183267
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
explorer.exe(228) - вероятно модифицированный Win32/TrojanDownlo | Slenick | Безопасность | 6 | 27.04.2012 15:05 |
Оперативная память = explorer.exe(524) - вероятно модифицированный Win32/TrojanDownlo | Taboshar | Безопасность | 4 | 19.04.2012 17:42 |
Оперативная память = explorer.exe(600) - вероятно модифицированный Win32/TrojanDownlo | Chupac | Безопасность | 1 | 18.04.2012 21:27 |
Оперативная память » svchost.exe(1460) - вероятно модифицированный Win32/TrojanDownlo | Dbrekmrf | Безопасность | 1 | 05.03.2012 17:43 |
Помогите - Оперативная память » explorer.exe(604) модифицированный Win32/TrojanDownlo | Maler | Безопасность | 3 | 06.12.2011 11:53 |