-
Junior Member (OID)
- Вес репутации
- 43
Вирус speed2.ru [Trojan-Spy.Win32.Carberp.pky
]
Проявления вируса:
1. В Опере последней версии меняются настройки: вход осуществляется с домашней страницы (а не с места разъединения, при чем теряются все прикрепленные вкладки), а домашняя страница меняется, соответственно, на www.speed2.ru.
2. NOD32 при каждом запуске системы выдает:
15.08.2012 7:27:17 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(2492) вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна Comp\Константин
что само по себе странно.
Других проявлений/проблем замечено не было. Пока не было.
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
Видел, что такая проблема у людей уже была, но, как вы пишете в правилах, каждая проблема индивидуальна, поэтому не рискнул лечить самостоятельно.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Костя Труханович, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Костя Труханович,
Здравствуйте!
1. Отключите временно Антивирус/Фаервол.
2. Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Константин\AppData\Roaming\taskhost.exe','');
QuarantineFile('C:\Users\Константин\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0RWYudhOV6g.exe','');
DeleteFile('C:\Users\Константин\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0RWYudhOV6g.exe');
DeleteFile('C:\Users\Константин\AppData\Roaming\taskhost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
После перезагрузки!
3. Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
4. Пофиксите в HijackThis :
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://browserhelp.ru
Сделайте лог AVZ + лог RSIT
-
-
Junior Member (OID)
- Вес репутации
- 43
Спасибо за оперативную и грамотную помощь Хорошее дело делаете
Логи:
AVZ
virusinfo_syscheck.zip
virusinfo_syscure.zip
RSIT
log.txt
info.txt
З.Ы. Вирус вроде бы уже не проявляется, и NOD тоже молчит.
-
Костя Труханович,
1. Отключите временно Антивирус/Фаервол.
2. Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Константин\AppData\Roaming\BlackShadesl.exe','');
DeleteFile('C:\Users\Константин\AppData\Roaming\BlackShadesl.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyStrParamWrite('HKLM','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list', 'C:\Users\Константин\AppData\Roaming\BlackShadesl.exe','C:\Users\Константин\AppData\Roaming\BlackShadesl.exe:*:Enabled:Windows Messanger');
DeleteFileMask('C:\ProgramData\IBank', '*', true);
DeleteFileMask('C:\ProgramData\qZP964Z3nkE', '*', true);
DeleteDirectory('C:\ProgramData\qZP964Z3nkE');
DeleteDirectory('C:\ProgramData\IBank');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки!
3. Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Сделайте лог полного сканирования MBAM + лог RSIT
-
-
Junior Member (OID)
- Вес репутации
- 43
mbam-log-2012-08-16 (05-55-49).txt
log.txt
MBAM нашел что-то, но я удалять не стал — всё в логе.
Пароли сменил вообще все.
Последний раз редактировалось Костя Труханович; 16.08.2012 в 09:27.
-
Что с проблемами?
- Выполните в АВЗ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\System32\install\server.exe','MBAM:Trojan.Downloader');
QuarantineFile('C:\Users\Константин\AppData\Roaming\install\server.exe','MBAM:Backdoor.Bot.M');
QuarantineFile('C:\Users\Константин\AppData\Roaming\data.dat','');
DeleteFile('C:\Users\Константин\AppData\Roaming\data.dat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
-
-
Junior Member (OID)
- Вес репутации
- 43
Выполнил.
Сообщение от
Techno
Что с проблемами?
Никаких проблем уже после поста №3. После поста №5 обновилась Винда, но это, думаю, не связано с лечением.
-
-
-
Junior Member (OID)
- Вес репутации
- 43
Спасибо за помощь Вы круты
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\\users\\константин\\appdata\\roaming\\microsoft \\windows\\start menu\\programs\\startup\\0rwyudhov6g.exe - Trojan-Spy.Win32.Carberp.pky ( DrWEB: Trojan.Carberp.647 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-