Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 35.

Carberp (заявка № 120456)

  1. #1
    Junior Member Репутация
    Регистрация
    18.04.2012
    Сообщений
    23
    Вес репутации
    17

    Carberp

    Здравствуйте.

    Не так давно к вам обращался http://virusinfo.info/showthread.php?t=119373 и снова подобный вирус, только теперь он долбиться на какие то сайты в сети, NOD 32 его блокирует. Также на диске С создаются папки подобного вида http://virusinfo.info/showthread.php?t=117456 в пункте 5. Плюс начал вырубаться Апач, я так полагаю вирус внедряется в какой то из svchost.exe и занимает порт 80, хотя при выполнении команды netstat -anb этого не видно.

    Сделал сканирование Curelit, он нашел несколько вирусов Carberp, но после лечения папки вида gH5rzYh050LuUTA все равно создаются на системном диске.
    c:\documents and settings\администратор\главное меню\программы\автозагрузка\izflzbjpkg8.exe инфицирован Trojan.Carberp.486 - удален
    C:\DOCUME~1\9335~1\LOCALS~1\Temp\1114.tmp инфицирован Trojan.Carberp.486 - удален
    >>C:\DOCUME~1\9335~1\LOCALS~1\Temp\1F2.tmp , возможно, инфицирован Trojan.Carberp
    >>C:\DOCUME~1\9335~1\LOCALS~1\Temp\3AA.tmp , возможно, инфицирован Trojan.Carberp
    >>C:\DOCUME~1\9335~1\LOCALS~1\Temp\48.tmp , возможно, инфицирован Trojan.Carberp
    C:\iIl0jnn0EH3USEG\klpclst.dat инфицирован Trojan.Carberp.30 - удален

    Еще из изменений на компе:
    - Появился новый пользователь вот с такой структурой папок - C:\Documents and Settings\u0410\u0434\u043C\u0438\u043D\u0438\u0441 \u0442\u0440\u0430\u0442\u043E\u0440\u0420\u0430\u 0431\u043E\u0447\u0438\u0439
    - Периодически пропадает интернет раз в полчаса примерно на 2-3 минуты.

    Помогите убить гадов.

    P.S. Посоветуйте как защитить компьютер от подобных троянов, т.к. обращаюсь уже второй раз за месяц. Сейчас стоит NOD 32 + Outpost Firewall PRO 6.7.2, они абсолютно бесполезны.
    Вложения Вложения
    Последний раз редактировалось anton2011; 19.05.2012 в 16:39.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) anton2011, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Сделайте лог полного сканирования МВАМ
    Сделайте логи RSIT
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    18.04.2012
    Сообщений
    23
    Вес репутации
    17

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Удалите в МВАМ только указанные ниже записи
    Код:
    Обнаруженные ключи в реестре:  4
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CronosPro (Spyware.Passwords.XGen) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Spyware.Passwords.XGen) -> Действие не было предпринято.
    HKCU\SOFTWARE\WINXGZ (Trojan.Agent) -> Действие не было предпринято.
    HKLM\SOFTWARE\StimulProfit (Adware.Agent) -> Действие не было предпринято.
    
    Обнаруженные параметры в реестре:  1
    HKCU\Software\winxgz|exerunner (Trojan.Agent) -> Параметры: was -> Действие не было предпринято.
    
    Обнаруженные файлы:  6
    C:\Documents and Settings\Администратор\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
    C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
    C:\gH5rzYh050LuUTA удалите вручную
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    18.04.2012
    Сообщений
    23
    Вес репутации
    17
    Все сделал, приложил лог.
    Вложения Вложения

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Проблема решена?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    18.04.2012
    Сообщений
    23
    Вес репутации
    17
    Не решена. Сегодня на диске C опять папка появилась gH5rzYh050LuUTA\pgche.
    Апач в денвере не работает, перепробовал все, что можно, обновлений винды не было, никаких изменений в системе не было, последний раз пользовался денвером на прошлой неделе, поэтому грешу на вирус.

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Сделайте лог ComboFix
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    18.04.2012
    Сообщений
    23
    Вес репутации
    17
    Здравствуйте.

    Сделал сканирование, лог приложил.

    Сиптомы после отались теже, папка на диске С:\gH5rzYh050LuUTA, апач вылетает.
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск C:\.
    Код:
    KillAll::
    
    File::
    
    Driver::
    
    NetSvc::
    
    Folder::
    C:\gH5rzYh050LuUTA
    Registry::
    
    FileLook::
    
    DirLook::
    Reboot::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.


  13. #12
    Junior Member Репутация
    Регистрация
    18.04.2012
    Сообщений
    23
    Вес репутации
    17
    Не удается выполнить скрипт, окно AutoScan провисело целый день и никакой реакции далее не последовало и лог не появился. Антивирус и файервол отключал.
    Последний раз редактировалось anton2011; 26.05.2012 в 22:41.

  14. #13
    Junior Member Репутация
    Регистрация
    18.04.2012
    Сообщений
    23
    Вес репутации
    17
    Что делать?

  15. #14
    Junior Member Репутация
    Регистрация
    18.04.2012
    Сообщений
    23
    Вес репутации
    17
    Здравствуйте.

    Удалось все сделать, не с того диска запустил первый раз.

    Лог приложил.
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    Что с проблемой?

    Удалите папку C:\gH5rzYh050LuUTA


  17. #16
    Junior Member Репутация
    Регистрация
    18.04.2012
    Сообщений
    23
    Вес репутации
    17
    После перезагрузки папка появилась. Апач не работает, либо вирус жив либо следы остались.

  18. #17
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Сделайте лог TDSSkiller
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  19. #18
    Junior Member Репутация
    Регистрация
    18.04.2012
    Сообщений
    23
    Вес репутации
    17
    Здравствуйте.

    TDSSkiller нашел один подозрительный файл. Лог приложил.
    Вложения Вложения

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    Чей ip 195.206.39.194 ?

    Combofix повторите.


  21. #20
    Junior Member Репутация
    Регистрация
    18.04.2012
    Сообщений
    23
    Вес репутации
    17
    Чей ip 195.206.39.194 ?

    Беспонятия. По whois это йпишник принадлежить ДСИ, у меня другой оператор - БТК. Вероятно надо удалить.

    Сделал Combofix, лог приложил.
    Вложения Вложения

  • Уважаемый(ая) anton2011, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. carberp.ad
      От Likhunov в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 06.05.2012, 13:11
    2. Carberp
      От Kel9290 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 14.04.2012, 16:24
    3. Все тот же Carberp.AD
      От aleko.07 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.03.2012, 12:44
    4. Carberp.AD
      От Магазин Autostar в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 04.11.2011, 18:44

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01358 seconds with 22 queries