Помогите!

Printable View

06.04.2012, 16:05
sidyk

Помогите!

Доброго времени суток уважаемые сотрудники Virusinfo. Прошу Вашей помощи в возникшей проблеме: после проверки компьютера с помощью ESET NOD32 AV 4.0.3 был обнаружен вирус Win32/Spy.Shiz.NCE, который находился в опер.памяти, процесс explorer. В это же время в папке С:\Documents and Settings\Admin создавался файл 000955~1.exe, при попытке его удалить он тут же появлялся снова. Я завершил процесс explorer и тогда удалил файл 000955~1.exe (больше он появлятся не стал). Удалил его также из автозагрузки (c помощью CCleaner).
Позже снова просканировал комп на наличие вирусов, этот же вирус сидел в операт.памяти: процесс egui.exe (C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe) удалить его я не смог.
Сегодня просканировал комп ещё раз, обнаружено: //Оперативная память = explorer.exe(1700) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна
В автозагрузке всё чисто, вирус только в процессе explorer.
06.04.2012, 16:07
Info_bot

Welcome to VirusInfo!

Уважаемый(ая) [B]sidyk[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
06.04.2012, 16:37
sidyk

Вложений: 3

ЛОГи

Логи
06.04.2012, 16:48
Nikkollo

Загрузите virusinfo_cure.zip из папки AVZ\LOG по красной ссылке вверху темы "Прислать запрошенный карантин".

Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\0Juq9yKb3DQ.exe','');
QuarantineFile('C:\WINDOWS\system32\debughelp32.exe','');
QuarantineFile('C:\DOCUME~1\Admin\000955~1.EXE','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\PFC027.SYS','');
DeleteFile('C:\DOCUME~1\Admin\000955~1.EXE');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','run');
DeleteFile('C:\WINDOWS\system32\debughelp32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\0Juq9yKb3DQ.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.

Сделайте логи RSIT:
[url]http://virusinfo.info/showthread.php?t=115256&p=859292#post859292[/url]
и приложите.
06.04.2012, 17:09
sidyk

Вложений: 4

Логи

[SUP]....//[/SUP]
06.04.2012, 19:36
Nikkollo

Эти папки и файл удалите вручную:
C:\QF8ovWzNqvvdVLj
C:\Documents and Settings\Admin\Application Data\QF8ovWzNqvvdVLj
C:\WINDOWS\system32\496.tmp

Смените все пароли.

Этот файл и папка вам знакомы?:
C:\WINDOWS\MFPTBULK\DR_HIDE.EXE

Что сейчас с проблемой?
06.04.2012, 21:08
sidyk

[QUOTE=Nikkollo;882069]Эти папки и файл удалите вручную:
C:\QF8ovWzNqvvdVLj
C:\Documents and Settings\Admin\Application Data\QF8ovWzNqvvdVLj
C:\WINDOWS\system32\496.tmp

Смените все пароли.

Этот файл и папка вам знакомы?:
C:\WINDOWS\MFPTBULK\DR_HIDE.EXE

Что сейчас с проблемой?[/QUOTE]

Просканировал антивирусом, всё чисто (за исключением папки AVZ (NOD32 ругался на доступ к архивам))!
Но тем не менее, удалил вышенаписаные папки и файлы.
[B][COLOR="#FF0000"]Спасибо огромное Вам!!![/COLOR][/B]
06.04.2012, 21:52
Nikkollo

C:\WINDOWS\MFPTBULK\DR_HIDE.EXE
Так что насчет этого?
(или уже тоже удалили?)
07.04.2012, 09:40
sidyk

[QUOTE=Nikkollo;882102]C:\WINDOWS\MFPTBULK\DR_HIDE.EXE
Так что насчет этого?
(или уже тоже удалили?)[/QUOTE]

Не припомню чтоб устанавливал что-то подобное, да тоже удалил это.
08.04.2012, 09:40
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\0juq9ykb3dq.exe - [B]Trojan-Spy.Win32.Carberp.hab[/B] ( DrWEB: Trojan.Carberp.340, BitDefender: Gen:Variant.Kazy.64672, AVAST4: Win32:Crypt-MHG [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]