TrojanDownloader:Win32/Carberp!dat [Trojan-Spy.Win32.Carberp.plz ]

**Shaman_King** · 23.08.2012, 15:21

ОС: WindowsXP pro SP3 x32, антивирус: Microsoft Security Essentials и еще COMODO firewall. Постоянно при загрузке компьютера пишет, что находит вирус TrojanDownloader:Win32/Carberp!dat удаление его не помогает, при следующей загрузке снова обнаруживает тот самый вирус TrojanDownloader:Win32/Carberp!dat расположение C:\Documents and Settings\All Users\cvpomnmqmbw\klpclst.dat

P.S.
Читал ету тему: Тема: TrojanDownloader:Win32/Carberp!dat (заявка № 120413)
(Google chrome перестал коректно работать думаю изза вируса)
Заранее спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 23.08.2012, 15:24

Уважаемый(ая) Shaman_King, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 23.08.2012, 19:56

http://virusinfo.info/pravila.html

**Shaman_King** · 24.08.2012, 03:11

Вложение 375274 Вложение 375275 Вложение 375276

**Techno** · 24.08.2012, 11:55

c:\program files\antirun\antirun.exe - что это?
C:\Program Files\Incredibar.com - устанавливали сами?

- Выполните в АВЗ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll','');
 QuarantineFile('C:\Documents and Settings\Michael\Главное меню\Программы\Автозагрузка\GKAmvKBUygw.exe','');
 DeleteFile('C:\Documents and Settings\Michael\Главное меню\Программы\Автозагрузка\GKAmvKBUygw.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Повторите логи АВЗ.

- Сделайте лог RSIT.

- Сделайте лог полного сканирования MBAM.

**Shaman_King** · 24.08.2012, 22:37

Сообщение от Techno

c:\program files\antirun\antirun.exe - что это?
C:\Program Files\Incredibar.com - устанавливали сами?

antirun.exe — это защита от autorun вирусов. Программа которая запрещает всяким autorunАМ автозапускатся на внешних носителях (дисках, флешках и т.д.)
А вот Incredibar.com первый рас слышу об етой херне!?

Ну впрочем за компьютером иногда сидять 2 неадекватных пользователя, которые реагируют на "отправте смс" и т.д...(им лекция уже прочитана) Как рас после поседушек одного из них я обнаружил сразу етот вирус.
Что нужно или можно удалять?

Можно ли удалить вирусы которые обнаружил MBAM?

**Techno** · 25.08.2012, 10:20

C:\Program Files\Incredibar.com - удалите через установку/удаление программ.

- Удалите в MBAM:

Код:

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\TheBflix (PUP.BFlix) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\TheBflix\bhoclass.dll (PUP.DownloadnSave) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\TheBflix\background.html (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\content.js (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\hjakmojkcnhgipgkkbiempkfdndcnlah.crx (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\settings.ini (PUP.BFlix) -> Действие не было предпринято.

- Пофиксите в HijackThis:

Код:

O3 - Toolbar: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

Удалите вручную:

Код:

C:\WINDOWS\system32\F3.tmp

Повторите лог РСИТ.

**Shaman_King** · 25.08.2012, 19:40

C:\Program Files\Incredibar.com - удалите через установку/удаление программ. Через "установку/удаление программ" не вышло небыло файла для удаления. Поетому я ввел в поиск "Incredibar" и удалил все нашедшие файли анлокером.

- Удалите в MBAM: непонял как сделать (куда нужно етот код совать?!) прочитал: "Как удалять с помощью MBAM указанные в теме элементы?"

- Пофиксите в HijackThis: профиксил.

Удалите вручную: Код: C:\WINDOWS\system32\F3.tmp — удалил.

**thyrex** · 25.08.2012, 19:49

Сообщение от Shaman_King

Удалите в MBAM

После повторного полного сканнирования нужно отметить те пункты, которые Вам указали, и нажать кнопку удаления

**Shaman_King** · 25.08.2012, 23:27

Сообщение от thyrex

После повторного полного сканнирования нужно отметить те пункты, которые Вам указали, и нажать кнопку удаления

Все понял — уже сделал

Вот новый лог РСИТ внизу

P.S.
После всех предведущих операций, до етой компьютер теперь CPU Usage 100%все очень медленно работает

**Techno** · 26.08.2012, 08:35

- Пофиксите в HijackThis:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search

O2 - BHO: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)

- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

Что с проблемами?

**Shaman_King** · 26.08.2012, 20:23

Вирусов больше нет, БОЛЬШОЕ СПАСИБО! Но когда включаю gogle chrome, видео на youtube или любое видео (кроме формата .avi) начинает все очень тормозить CPU 100%

**CyberHelper** · 26.08.2012, 20:33

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 6
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\michael\\главное меню\\программы\\автозагрузка\\gkamvkbuygw.exe - Trojan-Spy.Win32.Carberp.plz ( DrWEB: Trojan.Carberp.647, BitDefender: Trojan.Generic.KDV.704638 )

Рекомендации:

Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !

TrojanDownloader:Win32/Carberp!dat [Trojan-Spy.Win32.Carberp.plz ] (заявка № 123855)

Опции темы

TrojanDownloader:Win32/Carberp!dat [Trojan-Spy.Win32.Carberp.plz ]

Антивирусная помощь

Антивирусная помощь

Итог лечения

Похожие темы

TrojanDownloader.Win32/Carberp!dat

Win32/TrojanDownloader.Carberp.AD

Win32/TrojanDownloader.Carberp.AH

Win32/TrojanDownloader.Carberp.AD

Win32/trojandownloader.carberp.ah

Метки для этой темы

Ваши права в разделе