TrojanDownloader.Carberp.AF и другие зверята

[Dimm04]

Добрый день!
Я где-то поймал TrojanDownloader.Carberp.AF - не могу излечить штатными средствами (drweb, nod32, avira). Распознавание есть, очистка невозможна.
Прошу помощи!

Также в корне диска С появились странные папки, например

папка usVGhvDaxUhjZoS
файл wndsksi.inf
файл klpclst.dat
папка pgche
файл bot.plug

тоже очень не хорошо.


hijackthis.log
virusinfo_syscheck.zip
virusinfo_syscure.zip

[Info_bot]

Уважаемый(ая) Dimm04, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Сделайте логи RSIT

[Dimm04]

Получаю сообщение line 8055 (File "D:\ ... \RSIT.exe")
Error: Variable used without being declared.

формируется только файл log.txt, да и тот содержит только 2 строки заголовка.

NOD32 отключен. RSIT брал по Вашей ссылке http://www.safezone.cc/random/RSIT.exe
с зеркалом - аналогичный результат.

В чём у меня косяк?

[thyrex]

Сделайте лог ComboFix

[Dimm04]

Сделал логи ComboFix. (программа отработала полностью, хотя при работе постоянно получал сообщение "C:\combofix\nirkmd.3xe не является приложением win32". Насколько это критично? )

log.txt

[thyrex]

1. Сделайте лог TDSSkiller

2. Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск С.

Код:

KillAll::

File::
C:\ntldl.inf

Driver::

Folder::
c:\documents and settings\кенгуру-проф\Application Data\usVGhvDaxUhjZoS
C:\usVGhvDaxUhjZoS
c:\documents and settings\кенгуру-проф\Application Data\XeJKRZCjZHfFdqn
C:\li8WjK1eDBqCyF0
c:\documents and settings\кенгуру-проф\Application Data\li8WjK1eDBqCyF0
C:\kFv3DjpT2zpl21T
c:\documents and settings\кенгуру-проф\Application Data\kFv3DjpT2zpl21T

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Dimm04]

Сделано.

log1.txt

[thyrex]

Запрошенный лог TDSSkiller где?

[Dimm04]

Упс, извиняюсь:
TDSSKiller.2.7.19.0_06.03.2012_14.32.38_log.txt

[regist]

• Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
• Заархивруйте эту папку с паролем virus. И полученный архив загрузите по ссылке Прислать запрошенный карантин вверху темы.

Сделайте новый лог TDSSkiller.

[Dimm04]

TDSSkiller_Quarantine выслан.

Новый лог TDSSkiller:

TDSSKiller.2.7.19.0_07.03.2012_09.01.24_log.txt

[thyrex]

Сделайте новый лог ComboFix

[Dimm04]

Лог ComboFix
ComboFix.txt

[thyrex]

Проблема решена?

[Dimm04]

Да, плохие симптомы излечены.
Огромное спасибо за помощь!

[thyrex]

Удалите ComboFix

Смените все пароли

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. \\tdsskiller_quarantine\\06.03.2012_14.32.38\\boot 0000\\boot0000\\tsk0000.dta - Rootkit.Boot.Cidox.b ( DrWEB: Trojan.Mayachok.5 )