Помогите избавиться от трояна!

Printable View

09.11.2011, 10:35
Андрей Ярков

Вложений: 3

Помогите избавиться от трояна!

При загрузке nod 32 выдает сообщение о заражении оперативной памяти!
Win32/TrojanDownloader.Carberp.AD очистка не возможна
Что с этим делать?
09.11.2011, 10:36
Info_bot

Уважаемый(ая) [B]Андрей Ярков[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
09.11.2011, 12:23
ARMA9000

Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sysinit.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\5MUxpA0.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\0sF5SfM.exe','');
QuarantineFile('C:\WINDOWS\system32\thqojg.exe','');
QuarantineFile('C:\WINDOWS\system32\c543d0a6.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
DeleteFile('C:\WINDOWS\system32\c543d0a6.exe');
DeleteFile('C:\WINDOWS\system32\thqojg.exe');
DeleteFile('\\?\globalroot\systemroot\system32\0sF5SfM.exe');
DeleteFile('\\?\globalroot\systemroot\system32\5MUxpA0.exe');
ClearHostsFile;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится. Карантин прислать согласно правилам. БАЗЫ АВЗ обновить и переделать логи + сделать лог gmer(ссылка в подписи).
10.11.2011, 12:48
Андрей Ярков

Вложений: 4

Выполнил присланный скрипт по ссылке отправил карантин из AVZ, переделал логи.
10.11.2011, 12:54
ARMA9000

Сохраните текст ниже как cleanup.bat в ту же папку, где находится 9m4cd6hr.exe (gmer)
[CODE]9m4cd6hr.exe -del service eyxrgzh
9m4cd6hr.exe -del file "C:\WINDOWS\system32\gitntiep.dll"
9m4cd6hr.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\eyxrgzh"
9m4cd6hr.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\eyxrgzh"
9m4cd6hr.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\eyxrgzh"
9m4cd6hr.exe -reboot[/CODE]И запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.
11.11.2011, 08:55
Андрей Ярков

Вложений: 1

Запустил cleanup.bat, после перезагрузки проблемма осталась.
Зделал новые логи Gmer
11.11.2011, 11:33
Nikkollo

Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\igfxtray.dat','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\igfxtray.dat');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\igfxtray.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\igfxtray.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BackupRegKey('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes', 'routes');
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

В папке АВЗ появится папка Backup, в ней папка с именем текущей даты, в ней файл routes_<цыферки>.reg
Заархивируйте его и приложите здесь.

Повторите лог GMER и приложите.
14.11.2011, 11:11
Андрей Ярков

Вложений: 1

После первого скрипта в AVZ проблема решилась :)!
Послал Вам карантин и файл из папки Backup
14.11.2011, 12:55
Nikkollo

Еще почистим немного.

Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes');
RegKeyCreate('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes');
end.

[/CODE]
15.11.2011, 12:55
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\администратор\\главное меню\\программы\\автозагрузка\\igfxtray.exe - [B]Trojan-Spy.Win32.Carberp.azt[/B] ( DrWEB: Trojan.Carberp.10, BitDefender: Trojan.Generic.6814262, AVAST4: Win32:MalOb-IJ [Cryp] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]