Carberp

Здравствуйте.

Не так давно к вам обращался [URL]http://virusinfo.info/showthread.php?t=119373[/URL] и снова подобный вирус, только теперь он долбиться на какие то сайты в сети, NOD 32 его блокирует. Также на диске С создаются папки подобного вида [URL]http://virusinfo.info/showthread.php?t=117456[/URL] в пункте 5. Плюс начал вырубаться Апач, я так полагаю вирус внедряется в какой то из svchost.exe и занимает порт 80, хотя при выполнении команды netstat -anb этого не видно.

Сделал сканирование Curelit, он нашел несколько вирусов Carberp, но после лечения папки вида gH5rzYh050LuUTA все равно создаются на системном диске.
c:\documents and settings\администратор\главное меню\программы\автозагрузка\izflzbjpkg8.exe инфицирован Trojan.Carberp.486 - удален
C:\DOCUME~1\9335~1\LOCALS~1\Temp\1114.tmp инфицирован Trojan.Carberp.486 - удален
>>C:\DOCUME~1\9335~1\LOCALS~1\Temp\1F2.tmp , возможно, инфицирован Trojan.Carberp
>>C:\DOCUME~1\9335~1\LOCALS~1\Temp\3AA.tmp , возможно, инфицирован Trojan.Carberp
>>C:\DOCUME~1\9335~1\LOCALS~1\Temp\48.tmp , возможно, инфицирован Trojan.Carberp
C:\iIl0jnn0EH3USEG\klpclst.dat инфицирован Trojan.Carberp.30 - удален

Еще из изменений на компе:
- Появился новый пользователь вот с такой структурой папок - C:\Documents and Settings\u0410\u0434\u043C\u0438\u043D\u0438\u0441\u0442\u0440\u0430\u0442\u043E\u0440\u0420\u0430\u0431\u043E\u0447\u0438\u0439
- Периодически пропадает интернет раз в полчаса примерно на 2-3 минуты.

Помогите убить гадов.

P.S. Посоветуйте как защитить компьютер от подобных троянов, т.к. обращаюсь уже второй раз за месяц. Сейчас стоит NOD 32 + Outpost Firewall PRO 6.7.2, они абсолютно бесполезны.

Уважаемый(ая) [B]anton2011[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]

Логи приложил
[ATTACH]363988[/ATTACH][ATTACH]363989[/ATTACH][ATTACH]363990[/ATTACH]

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные ниже записи[/b] [code]Обнаруженные ключи в реестре: 4
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CronosPro (Spyware.Passwords.XGen) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Spyware.Passwords.XGen) -> Действие не было предпринято.
HKCU\SOFTWARE\WINXGZ (Trojan.Agent) -> Действие не было предпринято.
HKLM\SOFTWARE\StimulProfit (Adware.Agent) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 1
HKCU\Software\winxgz|exerunner (Trojan.Agent) -> Параметры: was -> Действие не было предпринято.

Обнаруженные файлы: 6
C:\Documents and Settings\Администратор\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.[/code]

C:\gH5rzYh050LuUTA удалите вручную

Все сделал, приложил лог.

Проблема решена?

Не решена. Сегодня на диске C опять папка появилась gH5rzYh050LuUTA\pgche.
Апач в денвере не работает, перепробовал все, что можно, обновлений винды не было, никаких изменений в системе не было, последний раз пользовался денвером на прошлой неделе, поэтому грешу на вирус.

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

Здравствуйте.

Сделал сканирование, лог приложил.

Сиптомы после отались теже, папка на диске С:\gH5rzYh050LuUTA, апач вылетает.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt [B]на диск C:\. [/B]
[code]
KillAll::

File::

Driver::

NetSvc::

Folder::
C:\gH5rzYh050LuUTA
Registry::

FileLook::

DirLook::
Reboot::
[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://safezone.cc/images/cfscript.gif[/IMG]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Не удается выполнить скрипт, окно AutoScan провисело целый день и никакой реакции далее не последовало и лог не появился. Антивирус и файервол отключал.

Что делать?

Здравствуйте.

Удалось все сделать, не с того диска запустил первый раз.

Лог приложил.

Что с проблемой?

Удалите папку C:\gH5rzYh050LuUTA

После перезагрузки папка появилась. Апач не работает, либо вирус жив либо следы остались.

Сделайте лог [URL="http://support.kaspersky.ru/viruses/solutions?qid=208636926"]TDSSkiller[/URL]

Здравствуйте.

TDSSkiller нашел один подозрительный файл. Лог приложил.

Чей ip 195.206.39.194 ?

Combofix повторите.

Чей ip 195.206.39.194 ?

Беспонятия. По whois это йпишник принадлежить ДСИ, у меня другой оператор - БТК. Вероятно надо удалить.

Сделал Combofix, лог приложил.