• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена помогите удалить вирус win32 trojandownloader.carberp.ad

Статус
В этой теме нельзя размещать новые ответы.

Ботан

Злостный спам-бот
Сообщения
1,030
Реакции
128
Баллы
453
Приветствую РоманРоман, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 

icotonev

Ассоциация VN
Сообщения
1,426
Реакции
1,156
Баллы
553
Здравствуйте..!

Отключите временно:
Антивирус/Файерволл

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Documents and Settings\Юзер\Главное меню\Программы\Автозагрузка\Xz4yv2SHQnU.exe','');
 QuarantineFileF('C:\Documents and Settings\Юзер\Application Data\27WzPRl94hI7Hnh', '*.*', false, '', 0, 0);
 QuarantineFileF('C:\27WzPRl94hI7Hnh', '*.*', false, '', 0, 0);
 DeleteFileMask('C:\27WzPRl94hI7Hnh', '*.*', true);
 DeleteFileMask('C:\Documents and Settings\Юзер\Application Data\27WzPRl94hI7Hnh', '*.*', true);
 DeleteDirectory('C:\27WzPRl94hI7Hnh');
 DeleteDirectory('C:\Documents and Settings\Юзер\Application Data\27WzPRl94hI7Hnh');
 DeleteFile('C:\Documents and Settings\Юзер\Главное меню\Программы\Автозагрузка\Xz4yv2SHQnU.exe');
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(8);
 ExecuteRepair(9);
 ExecuteRepair(13);
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через этой формы

HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O4 - Startup: Xz4yv2SHQnU.exe
Подготовить лог с программу Gmer: инструкция

Пожалуйста, подготовить новые логи с АВЗ и RSIT...!!!
 
Последнее редактирование:

РоманРоман

Активный пользователь
Сообщения
9
Реакции
0
Баллы
381
Здравствуйте!
В HiJack у меня нет такой строки:
O4 - Startup: Xz4yv2SHQnU.exe
соответственно, пофиксить ее не могу.
 

Warrior Kratos

Активный пользователь
Сообщения
1,216
Реакции
354
Баллы
473
Здравствуйте!
В HiJack у меня нет такой строки:
O4 - Startup: Xz4yv2SHQnU.exe
соответственно, пофиксить ее не могу.
очень хорошо, это значит что AVZ сама удалила данный объект. Выполняйте указания дальше. Нужны новые логи.

Подготовить лог с программу Gmer: инструкция
Пожалуйста, подготовить новые логи с АВЗ и RSIT...!!!
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,839
Реакции
2,565
Баллы
593
1. Откройте Блокнот и скопируйте в него текст скрипта
Код:
jzenod5r.exe -del service tielfw
jzenod5r.exe -del file "C:\Documents and Settings\Юзер\Application Data\2dqoc0np4or.dat"
jzenod5r.exe -del file "C:\Documents and Settings\Юзер\Главное меню\Программы\Автозагрузка\2dqoc0np4or.exe"
jzenod5r.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\tielfw"
jzenod5r.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\tielfw"
jzenod5r.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\tielfw"
jzenod5r.exe -reboot
2. Нажмите Файл - Сохранить как
3. Выберите папку, в которую сохранили jzenod5r.exe (gmer)
4. Укажите Тип файла - [/b]Все файлы (*.*)[/b]
5. Введите имя файла cleanup.bat и нажмите кнопку Сохранить
6. Запустите cleanup.bat

ВНИМАНИЕ: Компьютер перезагрузится!!!

Сделайте новый лог gmer

Файл C:\plg.txt удалите вручную

Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(6);
ExecuteRepair(10);
RebootWindows(true);
end.
Компьютер перезагрузится.

Смените все пароли

Сделайте новые логи
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
Ваш провайдер?
Код:
Tomsktelecom, ISP in Tomsk, Russia and Tomsk region
Россия

DIN Tomsktelecom NET Contact Role
Digital Information Network
Tomsktelecom
40, Chernykh str.,
634063, Tomsk, Russia
phone: +7 3822 662510
phone: +7 3822 662506
phone: +7 3822 559876
fax: +7 3822 662502
[email protected]

DIN Tomsktelecom NET Contact Role
Digital Information Network
Tomsktelecom
40, Chernykh str.,
634063, Tomsk, Russia
phone: +7 3822 662510
phone: +7 3822 662506
phone: +7 3822 559876
fax: +7 3822 662502
[email protected]
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) - необходимо обновить до актуальной версии.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\Юзер\Application Data\2dqoc0np4or.dat',' ');
 QuarantineFile('C:\Documents and Settings\Юзер\Главное меню\Программы\Автозагрузка\2dqoc0np4or.exe',' ');
 DeleteFile('C:\Documents and Settings\Юзер\Application Data\2dqoc0np4or.dat');
 DeleteFile('C:\Documents and Settings\Юзер\Главное меню\Программы\Автозагрузка\2dqoc0np4or.exe');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 ExecuteRepair(13);
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
 

РоманРоман

Активный пользователь
Сообщения
9
Реакции
0
Баллы
381
провайдер - мой
что значит, что интернет эксплорер необходимо обновить до версии? я его не использую, я использую мозилу.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,839
Реакции
2,565
Баллы
593
Удалите в МВАМ все, кроме
Код:
C:\Distrib\DISTRIB-OLD\Nero 6\Keygen.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,905
Баллы
1,008
Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.
 

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
Пофиксить в HijackThis следующие строчки
Код:
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

Что с проблемами?
 

РоманРоман

Активный пользователь
Сообщения
9
Реакции
0
Баллы
381
пофиксил
проблем вроде не видно, нод больше не находит трояна этого
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу