Не давно подхватил вирус carber!bat. Компьютер стал хуже работать + не пускает в социальные сети.
Проверка dr Web cureit не помогла, только узнал название вируса.
Помогите пожалуйста!
Printable View
Не давно подхватил вирус carber!bat. Компьютер стал хуже работать + не пускает в социальные сети.
Проверка dr Web cureit не помогла, только узнал название вируса.
Помогите пожалуйста!
Уважаемый(ая) [B]Bento[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Появилась новая проблема - в социальных сетях. Теперь на главную страницу пускает, но просит какую то "Валидацию аккаунта". В файле hosts пусто. Еще раз прошу помощи!
Пофиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"](как пофиксить)[/URL]:
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0134E8BE-72BE-4DC9-BB98-CA13D6350080}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D2BAB3C-E4F6-4310-AC2D-1AFD524E05E1}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{26D94584-43D4-4DCC-ABF4-E031787F38A6}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{82DFA815-8FE4-4E30-9914-CBA12EAA67F0}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D2FA9EB-CF22-4AFE-84ED-744D053E5141}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{CEA6DE99-09B5-458C-8EA3-E84352276C6F}: NameServer = 127.0.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0134E8BE-72BE-4DC9-BB98-CA13D6350080}: NameServer = 127.0.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0134E8BE-72BE-4DC9-BB98-CA13D6350080}: NameServer = 127.0.0.1
[/CODE]
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\windows\temp\pfyhyhw.exe');
QuarantineFile('C:\Documents and Settings\Федор.COMPUTER-2F04A9\Главное меню\Программы\Автозагрузка\tc25Q1U1lcA.exe','');
QuarantineFile('c:\windows\temp\pfyhyhw.exe','');
DeleteFile('c:\windows\temp\pfyhyhw.exe');
DeleteFile('C:\Documents and Settings\Федор.COMPUTER-2F04A9\Главное меню\Программы\Автозагрузка\tc25Q1U1lcA.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.
Сделал
Что с проблемой?
В соц. сети входит, антивирус не ругается, правда все еще есть папка "gmPOpN1RaxRG4zo" внутри диска С. Что это может быть?
Смените все пароли.
Сделайте логи RSIT:
[url]http://virusinfo.info/showthread.php?t=115256&p=859292#post859292[/url]
и приложите.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Обновите Internet Explorer до актуальной версии (даже если не используете):
[url]http://windows.microsoft.com/ru-RU/internet-explorer/downloads/ie[/url]
Проблема вернулась!
Повторно сделал логи.
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Федор.COMPUTER-2F04A9\Главное меню\Программы\Автозагрузка\tc25Q1U1lcA.exe','');
QuarantineFile('C:\WINDOWS\TEMP\ypchfvw.exe','');
DeleteFile('C:\WINDOWS\TEMP\ypchfvw.exe');
DeleteFile('C:\Documents and Settings\Федор.COMPUTER-2F04A9\Главное меню\Программы\Автозагрузка\tc25Q1U1lcA.exe');
DeleteService('XDva388');
DeleteService('XDva385');
DeleteService('jxxvdulv');
DeleteService('Guard.Mail.ru');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пофиксите в HijackThis:
[code]
O2 - BHO: Play Pickle Text - {02F0243C-2E71-4a1a-A790-6C30888119D0} - C:\Program Files\Play Pickle\pptl.dll (file missing)
O2 - BHO: (no name) - {61e0ef7a-9bc0-45ea-9b2f-f3e9f02692bd} - (no file)
O3 - Toolbar: (no name) - {b278d9f8-0fa9-465e-9938-0c392605d8e3} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0134E8BE-72BE-4DC9-BB98-CA13D6350080}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D2BAB3C-E4F6-4310-AC2D-1AFD524E05E1}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{26D94584-43D4-4DCC-ABF4-E031787F38A6}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{82DFA815-8FE4-4E30-9914-CBA12EAA67F0}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D2FA9EB-CF22-4AFE-84ED-744D053E5141}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{CEA6DE99-09B5-458C-8EA3-E84352276C6F}: NameServer = 127.0.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0134E8BE-72BE-4DC9-BB98-CA13D6350080}: NameServer = 127.0.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0134E8BE-72BE-4DC9-BB98-CA13D6350080}: NameServer = 127.0.0.1
[/code]
Пришлите новый карантин согласно приложению 2 правил.
Сделайте новые логи.
Нового лога нету. Что делать?
[quote="Bento;889671"]Что делать?[/quote]
Выполнить повторно п.1-3 раздела [I]Диагностика[/I] правил и прикрепить полученные файлы к следующему сообщению.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\федор.computer-2f04a9\\главное меню\\программы\\автозагрузка\\tc25q1u1lca.exe - [B]Trojan-Spy.Win32.Carberp.kot[/B] ( DrWEB: Trojan.Carberp.276, BitDefender: Gen:Variant.Kazy.69069, AVAST4: Win32:Kryptik-IQU [Trj] )[*] c:\\windows\\temp\\pfyhyhw.exe - [B]Trojan-Ransom.Win32.Birele.mkf[/B] ( DrWEB: Trojan.Hottrend, BitDefender: Gen:Variant.Kazy.69393, AVAST4: Win32:Kryptik-IQU [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]