Добрый день.
NOD32 пишет, что нашёл вирусы TrojanDownloader.Carberp.AF и SpyVoltar.A.
Прошу помощи!
Спасибо,
Андрей Панов.
Добрый день.
NOD32 пишет, что нашёл вирусы TrojanDownloader.Carberp.AF и SpyVoltar.A.
Прошу помощи!
Спасибо,
Андрей Панов.
Уважаемый(ая) andrejpan, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\users\Андрей\appdata\roaming\netprotocol.exe'); QuarantineFile('C:\Users\Андрей\appdata\local\temp\ms0cfg32.exe',''); QuarantineFile('C:\Users\Андрей\appdata\local\temp\flash_player_update.exe',''); QuarantineFile('C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6cPLiNoisAo.exe',''); QuarantineFile('C:\Program Files\rajce\rajce.exe',''); QuarantineFile('C:\Program Files\Wyzo\wyzo.exe',''); QuarantineFile('C:\Windows\system32\xarxhpk.dll',''); QuarantineFile('c:\users\Андрей\appdata\roaming\netprotocol.exe',''); DeleteFile('C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6cPLiNoisAo.exe'); DeleteFile('C:\Users\Андрей\appdata\local\temp\flash_player_update.exe'); DeleteFile('C:\Users\Андрей\appdata\local\temp\ms0cfg32.exe'); DeleteFile('C:\Users\Андрей\appdata\roaming\netprotocol.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,3,true); RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Сделайте логи RSIT.
Сделайте лог полного сканирования МВАМ.
Скрипты выполнил. Вирус остался. quarantine.zip загрузить не могу: пишет, что произошла ошибка и файл уже был загружен.
P.S. Со второго раза скрипт подействовал. Вируса нет.
Карантин закачал:
Файл сохранён как 120504_160752_quarantine_4fa3fed89bab4.zip
Размер файла 2926916
MD5 de8d9fffff4a44c4f359e98c247f88c4
Логи приложу, когда сделаю.
Последний раз редактировалось andrejpan; 04.05.2012 в 22:34.
Прикладываю логи.
Однако осталась проблема: не грузятся страницы в интернет-браузерах. Ни в Опере, ни в Хроме, ни в IE.
Сейчас пишу с другого компьютера, как и перед этим.
Уточню, что не загружаются, в основном, Ваш сайт, Одноклассники, ВКонтакте, Мэйл.ру и ещё некоторые сайты, где у меня есть учётные записи.
Добавлено через 11 часов 3 минуты
Проблема осталась даже после переустановки Оперы.
Пожалуйста, подскажите в чём причина.
Последний раз редактировалось andrejpan; 05.05.2012 в 10:08. Причина: Добавлено
C:\Program Files\Wyzo\wyzo.exe
C:\Program Files\rajce\rajce.exe
эти файлы вам знакомы ?
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\rajce\rajce.exe',''); QuarantineFile('C:\Program Files\Wyzo\wyzo.exe',''); QuarantineFile('C:\Windows\system32\xarxhpk.dll',''); DeleteFile('C:\Windows\system32\xarxhpk.dll'); QuarantineFile('C:\Users\Андрей\AppData\Roaming\elro.exe',''); DeleteFile('C:\Users\Андрей\AppData\Roaming\elro.exe'); QuarantineFileF('C:\Users\Андрей\AppData\Roaming\azr4BDoEHHIwD14','*', true,'',0 ,0); DeleteFileMask('C:\Users\Андрей\AppData\Roaming\azr4BDoEHHIwD14', '*', true); DeleteDirectory('C:\Users\Андрей\AppData\Roaming\azr4BDoEHHIwD14',' '); QuarantineFileF('C:\azr4BDoEHHIwD1','*', true,'',0 ,0); DeleteFileMask('C:\azr4BDoEHHIwD1', '*', true); DeleteDirectory('C:\azr4BDoEHHIwD1',' '); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторный лог AVZ и логи RSIT
меняйте все пароли !
Да, программы wyzo.exe, rajce.exe я устанавливал сам. Первая - браузер, вторая - программа для выкладывания фотографий на сайт rajce.cz.
Добавлено через 6 минут
Удивительно, но после очередной (5-ой или 6-ой за день) перезагрузки, NOD32 обнаружил какие-то подозрительные файлы, удалил и перезагрузил снова. И, как ни странно, теперь всё работает! Загружаются все сайты, какие не грузились до этого!
К сожалению, NOD32 не сообщил, какие файлы он удалил.
Спасибо за Вашу помощь!!!
Добавлено через 1 час 10 минут
Нашёл, что удалил NOD. Это файл system32/xarxhpk.dll - Kryptik.AFCS троян.
Добавлено через 40 секунд
Ещё раз - огромное спасибо!
Последний раз редактировалось andrejpan; 05.05.2012 в 17:06. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\\users\\андрей\\appdata\\local\\temp\\flash_pla yer_update.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Mayachok.1, BitDefender: Trojan.Generic.KDV.616084, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:Crypt-MRB [Trj] )
- c:\\users\\андрей\\appdata\\roaming\\microsoft\\wi ndows\\start menu\\programs\\startup\\6cplinoisao.exe - Trojan-Spy.Win32.Carberp.klh ( DrWEB: Trojan.DownLoader6.5840, BitDefender: Gen:Variant.Kazy.69134, NOD32: Win32/TrojanDownloader.Carberp.AJ trojan, AVAST4: Win32:MalOb-KL [Trj] )
- c:\\users\\андрей\\appdata\\roaming\\netprotocol.e xe - Backdoor.Win32.Buterat.ggy ( DrWEB: BackDoor.Butirat.60, BitDefender: Gen:Variant.Barys.2666, NOD32: Win32/SpyVoltar.A trojan, AVAST4: Win32:Downloader-OGY [Trj] )
- c:\\windows\\system32\\xarxhpk.dll - Trojan-Dropper.Win32.Cidox.wyd ( DrWEB: Trojan.Mayachok.1, BitDefender: Gen:Variant.Barys.2494, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:Vundo-SA [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) andrejpan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.