Junior Member
Вес репутации
53
Trojan.hosts и trojan.carberp
Добрый вечер. Блуждая по интернету, в один прекрасный момент вылетел Firefox. Перезапустив Drweb начал обезвреживать trojan.hosts.5571 и помещать в карантин. Далее просмотрев Диспетчер задач, я заметил странные процессы: iexplorer.exe — 2 штуки (использование памяти ~80кб и еще один 0.2592376907943884 (в процессах не висит, зато остался в Temp). Кроме того, в той же папке Temp появились файлы расширения .tmp с датой 1988 года и adobeupdater12345, которые я удалил. Также имеются вот такие файлы:
Скрытый текст
0.6286148197112535h7i.exe
blrfw
tvfbg.bat
0.46169710636229877.exe
140.tmp
bibjl.bat
x9nxf
wibnv.vbs
jijwa.vbs
ktgsn
mowvj
ncgxpf.dll
yfwilh.dll
vpjkxk.dll
chbnbd.dll
AdobeARM.log
0.8136258426416959h7i.exe
19F.tmp
o25x5
yumjp.bat
issnt.vbs
Main.class
Hzh7Ak2jKBk8GcmXVSqV0A
0.2592376907943884.exe
1DC.tmp
a.ico
n2xwp
fgwbh.bat
ydosu
pspayc.dll
eiuovw.dll
xzuzw.vbs
cymdd
sceqv
oaeukj.dll
~DF2B5.tmp
Скрыть
При каждом новом открытии firefox и переходу на страницу (любую) drweb ругается на trojan.caberp.virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log
Спасибо.
Последний раз редактировалось chiz1; 14.03.2012 в 22:38 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) chiz1 , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\r_server.exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\QNtQeQhCpwHm.dll','');
QuarantineFile('C:\Program Files\KVIrc\kvirc.exe','');
QuarantineFile('c:\program files\task killer\taskkiller.exe','');
QuarantineFile('d:\[soft]\ninja\ninja.exe','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\QNtQeQhCpwHm.dll');
AutoFixSPI;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteWizard('TSW',2,3,true);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин " вверху темы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip )
+ Сделайте логи RSIT.
программу KVIrc - C:\Program Files\KVIrc\kvirc.exe
и Radmin сами устанавливали ?
+ Проведите процедуру, которая описана в первом сообщении тут . Результат загрузки напишите в сообщении здесь.
Junior Member
Вес репутации
53
Теперь компьютер не может получить IP у маршрутизатора. Напрямую подключение есть, пакеты идут, а соединения как будто нет. Еще drweb жалуется на потерянный LSP Hook.
KVirc и radmin устанавливал я.
Файл сохранён как 120315_073429_virusinfo_files_CHIZ1TOTO_4f619b8505 b00.zip
Размер файла 4576525
MD5 409353bc161dbe2cacd53e6d57873e16
Вложения
Junior Member
Вес репутации
53
Также выскакивает окошко с надписью runtime error 216
Добавлено через 5 часов 38 минут
В общем справился сам. Спасибо хелперам и отдельное спасибо Olm . Правда "runtime error 216" все еще беспокоит, когда открываю Панель управления.
Последний раз редактировалось chiz1; 15.03.2012 в 20:08 .
Причина: Добавлено
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
53
Вложения
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
Код:
KillAll::
File::
Driver::
Folder::
C:\OZHpYPe0vBpjblk
c:\documents and settings\Администратор\Application Data\OZHpYPe0vBpjblk
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt , прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
53
Вложения
Плохого не видно
Смените все пароли
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
53
Сообщение от
thyrex
Плохого не видно
Смените все пароли
Что с проблемой?
Пароли сразу сменил. А вот runtime все еще всплывает.
Скрытый текст
00002AD0
0001D4B4
0001B300
000139B0
00013978
00013908
00013940
000136E8
Скрыть
Junior Member
Вес репутации
53
Не понимаю, захожу на некоторые ссылки ловлю carperp, заходят другие люди — ничего. Может дело во "мне"?
Junior Member
Вес репутации
53
Пробовал убить через avz файл в автозагрузки таким скриптом
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\documents and settings\1\Главное меню\Программы\Автозагрузка\boRc2L7JGuQ.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Буквально через пару секунд появляется заново. Попробовал в combofix такой скрипт. После перезагрузки история повторяется.
Код:
KillAll::
File::
C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\boRc2L7JGuQ.exe
Driver::
Folder::
C:\P6rczKQZkS5yP3O
c:\documents and settings\Администратор\Application Data\P6rczKQZkS5yP3O
Registry::
FileLook::
DirLook::
Логи прилагаются.
Вложения
Сообщение от
chiz1
Может дело во "мне"?
Похоже на то:
Platform: Windows
XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Установите SP3 и последующие обновления.
(Может потребоваться повторная активация Windows).
I am not young enough to know everything...
+ сделайте лог TDSSkiller
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
53
Не знаю как, но вроде почистил с помощью avz и combofix. Sp установил, вот логи.
Вложения
Плохого не увидел
Смените все пароли
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 18 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\all users\\application data\\qntqeqhcpwhm.dll - Trojan.Win32.Diple.evcd ( DrWEB: Trojan.KillAV.66, BitDefender: Backdoor.Bot.150551, NOD32: Win32/Delf.OEW trojan, AVAST4: Win32:Trojan-gen ) c:\\windows\\system32\\r_server.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.21 ( DrWEB: Program.RemoteAdmin )