Беспокоит Win32/TrojanDownloader.Carberp.AM и AF после каждой загруки ПК [Rootkit.Boot.Cidox.b
]
Здравствуйте. Замучили Win32/TrojanDownloader.Carberp.AM иWin32/TrojanDownloader.Carberp.AF.*
В системе стоит ESET Smart Security 4, стартует при запуске ОС. Практически сразу после запуска обнаруживает данный вирус с сообщением подобного содержания*Оперативная память = explorer.exe(1720) Win32/TrojanDownloader.Carberp.AM и*Оперативная память = svchost.exe(1824) Win32/TrojanDownloader.Carberp.AF (значения в скобках могут меняться и обоих сообщениях) и сообщается очищено. И так при каждой загрузке. Хотелось бы избавится от заразы "насовсем", а не только до следующей перезагрузки.
Файлы проверок прикладываю, хотя не знаю, все ли сделала правильно, ведь каждый раз антивирус успевал из памяти убить вирусы, а запускались avz и HijackThis уже после удаления вируса из памяти.*
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Shash, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files\Movies Toolbar\Datamngr\DatamngrCoordinator.exe','');
DeleteService('DatamngrCoordinator2');
QuarantineFile('C:\WINDOWS\system32\com\svchost.exe','');
DeleteService('Windows');
DeleteFile('C:\WINDOWS\system32\com\svchost.exe','32');
DeleteFile('C:\Program Files\Movies Toolbar\Datamngr\DatamngrCoordinator.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
Обнаруженные файлы: 11
C:\Documents and Settings\Admin\Рабочий стол\adobe_pscs2_keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Рабочий стол\Adobe_Photoshop_CS2_9.0\KEYGEN.EXE (Trojan.Agent.CK) -> Действие не было предпринято.
C:\Program Files\LClock\hidcon.exe (Trojan.Dropped) -> Действие не было предпринято.
C:\Program Files\LouderIt\LConfig.exe (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\hidcon.exe (Trojan.Dropped) -> Действие не было предпринято.
D:\Программы\x_TNod_1.4.0.15\TNod-1.4.0.15-setup.exe (Trojan.Agent.CK) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Удаление выполнили. После перезагрузки ноут жестко зависал два раза (первый раз не загрузив и рабочий стол, а только обои, второй загрузив стол, но пока вешал софт в автозагрузку, опять завис). В третий раз загрузился уже нормально. ESET все также сообщает о наличии вирусов и их успешном удалении.
Самое неприятное, что пропал с рабочего стола файл лога программы МВАМ, подозреваю, что это может быть как-то связано с перечисленными выше глюками загрузки. То есть файл лога я пока Вам не могу.
КАк быть теперь? Что выполнить, чтобы продолжить обеззараживание ПК. Понимаю, что доставляю хлопоты, но прошу продолжить помощь.
Открыла программу, нашла в ней отчеты. Возможно этот файл, что пропал?
Последний раз редактировалось Shash; 21.02.2014 в 01:01.
Выполнили. Программа отработала, лог прилагаю.
Во время работы была выполнена перезагрузка, после которой ESET по-прежнему сообщал о наличии вирусов и их успешной очистке.
Во время работы программы Combofix было окно с сообщением "Инструкция по адресу 0х10004130 обратилась к памяти по адресу 0х10004130. Память не может быть "read". Нажала ОК. Программа продолжала работать.
TDSSKiller отработала нормально, нашла вирус (или еще какую заразу) и попросила перезагрузки. После перезагруза ESET молчит! Все излечено, можно радоваться?
Последний раз редактировалось Shash; 22.02.2014 в 03:10.
В корневом каталоге системного диска папку TDSSKiller Quarantine заархивируйте в формате zip с паролем virus и загрузите по красной ссылке вверху темы "Прислать запрошенный карантин".
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txtна диск С.
C:\shash
Эту папку создала вчера я сама, переместив туда копию программы ComboFix. Все равно выполнить проверку этой папки программой?
Карантин отправили.
Лог прикладываю.
Во время работы опять было сообщение Инструкция по адресу 0х10004130 обратилась к памяти по адресу 0х10004130. Память не может быть "read". Нажала ОК. Программа продолжала работать.
ESET при старте молчит! , ноут бегает резво. Огромное спасибо за помощь!!!
А то, что удалил ComboFix и сейчас находится в карантине (после своего первого запуска) - неважные файлы для Windows XP SP3 (показать список и расположение файлов?)? Их не надо восстанавливать? Так как, если вылечено, то планирую сносить весь софт, что ставили, в том числе и ComboFix.
Вот они то как раз мне и не нужны )))
Речь была о dll, например с\windows\system32\Packet.dll или с\windows\system32\wpcap.dll
с\windows\system32\drive\npf.sys и с\windows\system32\drive\etc\hosts.ics
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: