Троян Caberp.AD

[vnatyre]

Добрый день!
У меня возникла проблема, НОД при каждой загрузке компьютера ругается, что нашел троян Caberp.AD, но удалить его отказывается напрочь. Сделал предварительную проверку, но она ничего не дала кроме мелких паразитов, которые были успешно вылечены. Решил сделать логи, они представлены вашему вниманию. Благодарю за помощь.

[Info_bot]

Уважаемый(ая) vnatyre, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Bratez]

Выполните скрипт в AVZ в безопасном режиме:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\gsimonov\Главное меню\Программы\Автозагрузка\sqgovo4hz8o.exe','');
 DeleteFile('C:\Documents and Settings\gsimonov\Главное меню\Программы\Автозагрузка\sqgovo4hz8o.exe');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('0113181271146240mcinstcleanup');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=116144).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[vnatyre]

Карантин загрузил.
Новая диагностика:
hijackthis.log
virusinfo_syscheck.zip

Забыл добавить загрузка цп всегда под 100% и НОД пишет что вирус в памяти сидит где то.

[thyrex]

Сделайте лог полного сканирования МВАМ

[vnatyre]

Лог mbam:
mbam-log-2012-02-07 (13-57-18).txt

[thyrex]

Удалите в МВАМ только указанные ниже записи

Код:

C:\Documents and Settings\gsimonov\Application Data\Sun\Java\Deployment\cache\6.0\30\9ea4cde-4d7e3ba8 (Trojan.Agent.BGen5) -> Действие не было предпринято.
C:\Documents and Settings\gsimonov\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\windows\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

Смените все пароли

[vnatyre]

Удалил то что было сказано
Лог: mbam-log-2012-02-07 (09-19-46).txt
При загрузке появилось опять алерт от нода Безымянный.PNG
Поэтому думаю может пока не стоит менять пароли? как считаете?

[thyrex]

Сделайте лог ComboFix

[vnatyre]

Лог Combofix:
log.txt

[thyrex]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск С.

Код:

KillAll::

File::
c:\documents and settings\gsimonov\Главное меню\Программы\Автозагрузка\pad6g9sCZns.exe

Driver::

Folder::
C:\7a6vHav3hoMFTXW
c:\documents and settings\gsimonov\Application Data\7a6vHav3hoMFTXW
C:\2JxU8igVWUOthob

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[vnatyre]

Лог:
log.txt

[thyrex]

Проблема решена?

[vnatyre]

Да, спасибо огромное, нод больше вирус не видит, стоит ли еще раз проверить компьютер? ну и пароли я как понимаю от всего надо менять?
Еще раз благодарю!

[thyrex]

Удалите ComboFix

Смените все пароли

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены