Показано с 1 по 9 из 9.

Помогите, пожалуйста, избавиться от: модифицированный Win32/TrojanDownloader.Carberp.AD (заявка № 114439)

  1. #1
    Junior Member Репутация
    Регистрация
    31.12.2011
    Сообщений
    7
    Вес репутации
    45

    Thumbs up Помогите, пожалуйста, избавиться от: модифицированный Win32/TrojanDownloader.Carberp.AD

    Добрый день.

    Nod32 обнаружил на компьютере вот такую вещь:
    Оперативная память » explorer.exe(1560) - модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна
    Ранее, также, находилась разновидность TrojanDownloader.Carberp.AF
    Помогите, пожалуйста, с лечением.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) xxxSERGEYxxx, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Whizlabs Suite\SCJP 5.0\Upgrade\unzip.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\SStqeFJH5dM.exe','');
    BC_ImportAll;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    Скачайте, распакуйте и запустите TDSSKiller:
    http://support.kaspersky.ru/faq/?qid=208636926
    Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
    Файл C:\TDSSKiller.***_log.txt приложите в теме.
    (где *** - версия программы, дата и время запуска.

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    31.12.2011
    Сообщений
    7
    Вес репутации
    45
    в настоящий момент после запуска проверки антивирусом троян по-прежнему определяется в оперативной памяти (процесс explorer.exe)
    логи tdsskiller
    Вложения Вложения
    Последний раз редактировалось xxxSERGEYxxx; 31.12.2011 в 15:17.

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*', true);
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\SStqeFJH5dM.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
    end.
    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    что с проблемой ?

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    31.12.2011
    Сообщений
    7
    Вес репутации
    45
    Автоматической перезагрузки не было (RebootWindows(true) - не в скрипте, перегрузил вручную).
    Архив карантина не прикреплял - после очистки директории он ожидаемо получился пустым (в скрипте планировалось сделать QuarantineFile вместо Delete?)
    Но в общем-то это всё не важно, поскольку после перезагрузки в оперативной памяти эта гадость не нашлась.
    Большое спасибо.
    Вложения Вложения

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от xxxSERGEYxxx Посмотреть сообщение
    Автоматической перезагрузки не было (RebootWindows(true) - не в скрипте, перегрузил вручную).
    Архив карантина не прикреплял - после очистки директории он ожидаемо получился пустым (в скрипте планировалось сделать QuarantineFile вместо Delete?)
    всё правильно, Вы молодец! Правильно что перезагрузили вручную, команду действительно пропустил.

    а насчёт карантина это просто от шаблона осталось . . .
    был получен предыдущим скриптом.

    Добавлено через 18 минут

    Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.

    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).

    Перезагрузите компьютер.

    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

    + Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.


    что с проблемой ?

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    31.12.2011
    Сообщений
    7
    Вес репутации
    45
    done.

    Результат загрузки:

    Файл сохранён как 111231_191759_virusinfo_files_SERGEYNOTEBOOK_4eff5 fe772f65.zip
    Размер файла 16010012
    MD5 4e0097c631b899948b7fa9d8801b8fe4

    Цитата Сообщение от regist Посмотреть сообщение
    что с проблемой ?
    более не проявляется, сканирование nod32 угроз не находит.


    С наступающим!

  13. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\sstqefjh5dm.exe - Trojan-Spy.Win32.Carberp.chp ( DrWEB: Trojan.Carberp.29, BitDefender: Gen:Heur.Zygug.1, AVAST4: Win32:MalOb-HX [Cryp] )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) xxxSERGEYxxx, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 11.04.2012, 21:43
    2. Ответов: 7
      Последнее сообщение: 01.03.2012, 23:12
    3. Ответов: 3
      Последнее сообщение: 17.02.2012, 13:44
    4. Ответов: 14
      Последнее сообщение: 10.02.2012, 01:35

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00337 seconds with 17 queries