Решена Помогите спасти оперативку компа от вируса

[avl]

При проверке системы антивирусником Nod 32 выдал вот такой отчёт:
"14.05.2012 22:12:13 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1748) вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна MICROSOF-86E2ED\Admin."

 

[Ботан]

Приветствую avl, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.​

__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:

• virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.

__________________________________________________
С уважением, администрация SafeZone.​

 

[avl]

Пока этим и занимаюсь... Сейчас закончит проверку и сразу же выложу :scaut:

 

[avl]

Проверка завершена, прикрепляю...

 

[akok]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\0wvYzRdqZbw.exe','');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\0wvYzRdqZbw.exe');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Скопируйте слудующий текст в блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:

   tdsskiller.exe -silent -qmbr -qboot

3. Запустите файл fix.bat;
4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
6. Запустите файл TDSSKiller.exe;
7. Нажмите кнопку "Начать проверку";
8. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
13. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

Подготовьте лог UVS

 

[avl]

Сделал всё ка описано выше , прикрепляю файл:training1:

 

[avl]

 

[avl]

что-то плохо отправляется... пробую еще раз.

 

[akok]

Лог TDSS чист.


Выполните скрипт UVS и пришлите карантин

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\УКС.LNK
delref HTTP://INET123.RU
zoo %Sys32%\\FTCGPK.DLL
breg
deltmp
czoo
restart

После выполнения скрипта компьютер перезагрузится.

AutoCAD у вас установлен?

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

Проблемы остались?

 

[avl]

Да, AutoCad установлен, работаю в нем.

 

[akok]

В карантине чисто.

 

[avl]

Комп совсем не хочет оживать... ЕЛЕ ползёт, а шумит как!!! Инет совсем не грузит, даже прогу Malwarebytes' Anti-Malware качает уже 40 минут.. дошло до 9% всего лишь)))

Добавлено через 50 минут 3 секунды
Камп что-то не оживает, грузит прогу из инета Malwarebytes' Anti-Malware уже 2 часа

 

[akok]

ЕЛЕ ползёт, а шумит как!!!

Температура какая компьютера?

Перезапустите и начните загрузку еще раз. Уж очень долго идет закачка.

 

[shestale]

+ сделайте лог HijackThis

 

[avl]

вот что получилось...

 

[akok]

Вы это сами вносили в доверенную зону?

O15 - Trusted Zone: *.authority.ru
O15 - Trusted Zone: *.bankplus.ru
O15 - Trusted Zone: *.faktura.ru

Найдите настройки сети провайдера (на случай если пропадет интернет) и пофиксите в HijackThis следующие строчки

 O17 - HKLM\System\CCS\Services\Tcpip\..\{5B692B7B-7EBB-404B-84E3-126C934A0378}: NameServer = 91.205.237.51 8.8.8.8

Повторите сканирование в MBAM и удалите

C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

После лечения обязательно смените пароли.

 

[avl]

O15 - Trusted Zone: *.faktura.ru это программа в доверенной зоне,
остальные мне не знакомы:
Trusted Zone: *.authority.ru
Trusted Zone: *.bankplus.ru

 

[shestale]

остальные мне не знакомы

Пофиксите в HJT эти строки:

O15 - Trusted Zone: *.authority.ru
O15 - Trusted Zone: *.bankplus.ru

Проблемы еще остались?

 

[avl]

Пофиксите в HJT эти строки:

O15 - Trusted Zone: *.authority.ru
O15 - Trusted Zone: *.bankplus.ru

Проблемы еще остались?

Пока вроде бегает. но с переменным успехом)) А если переустановить Винду с чисткой диска С: вирусы удаляться?? ведь на другом диске вирусов вроде как нет, или надо делать полную чистку жесткого диска???

Какой антивирусник приоритетней поставить вместо НОДа 32???


Огромное спасибо за оказанную помощь, akoK и shestale)))

 

[akok]

Пока вроде бегает. но с переменным успехом))

Проверьте температуру процессора.

А если переустановить Винду с чисткой диска С: вирусы удаляться??

На диске С удалятся, но пароли уже ушли злоумышленникам.

Какой антивирусник приоритетней поставить вместо НОДа 32???

Сами выбирайте. НОД лицензионный?

Рекомендации после лечения

Тему отмечать решенной?