Мой эромир плюс explorer.exe 1004 и на клавиатуре некоторые буквы печатаются как цифры [Trojan-Spy.Win32.Carberp.tft ]

Printable View

25.12.2012, 01:56
Mexiko1993

Вложений: 3

Мой эромир плюс explorer.exe 1004 и на клавиатуре некоторые буквы печатаются как цифры [Trojan-Spy.Win32.Carberp.tft ]

Мой эромир плюс explorer.exe 1004 и на клавиатуре некоторые буквы печатаются как цифры
25.12.2012, 01:58
Info_bot

Уважаемый(ая) [B]Mexiko1993[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
25.12.2012, 08:13
mrak74

Здравствуйте !!!

Пофиксите в HijackThis:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O1 - Hosts: 46.251.249.137 m.vk.com odnoklassniki.ru wap.odnoklassniki.ru my.mail.ru www.odnoklassniki.ru vk.com m.odnoklassniki.ru
O1 - Hosts: 46.251.249.136 counter.rambler.ru counter.spylog.com mc.yandex.ru admulti.com www.google-analytics.com
O4 - HKLM\..\Run: [3103000] cmd.exe /c copy C:\DOCUME~1\umo\LOCALS~1\Temp\3102046FdOh C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hosts /f[/CODE]
Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\umo\Главное меню\Программы\Автозагрузка\vPPFzxTiMrk.exe','');
DeleteFile('C:\Documents and Settings\umo\Главное меню\Программы\Автозагрузка\vPPFzxTiMrk.exe');
DeleteFile('C:\DOCUME~1\umo\LOCALS~1\Temp\3102046FdOh');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','3103000');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.[/CODE]

После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]

[URL="http://virusinfo.info/showthread.php?t=128635#post948932"][I]очистите кэш и cookies-файлы браузеров[/I][/URL]

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
25.12.2012, 11:02
thyrex

+ Сделайте лог [url="http://virusinfo.info/showpost.php?p=351873&postcount=1"]gmer[/url]
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
25.12.2012, 14:20
Mexiko1993

Вложений: 3

сделал проверки

Всё вышесказанное сделал
25.12.2012, 14:23
thyrex

Неправда, не все. Где лог МВАМ, где лог RSIT?

1. Откройте [b]Блокнот[/b] и скопируйте в него текст скрипта
[CODE]css0nwwx.exe -del service fydickoj
css0nwwx.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\fydickoj"
css0nwwx.exe -reboot[/CODE]2. Нажмите [b]Файл[/b] - [b]Сохранить как[/b]
3. Выберите папку, в которую сохранили [b]css0nwwx.exe[/b] (gmer)
4. Укажите [b]Тип файла[/b] - [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]cleanup.bat[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите [b]cleanup.bat[/b]

[color="red"][b]ВНИМАНИЕ:[/b][/color] Компьютер перезагрузится!!!

Сделайте новый лог gmer
25.12.2012, 17:41
Mexiko1993

Вложений: 1

log gmer

log gmer
25.12.2012, 18:24
thyrex

Здесь порядок

Вы вообще читаете, что Вам пишут?
Дубль 2
[quote="thyrex;953601"]Где лог МВАМ, где лог RSIT?[/quote]
25.12.2012, 19:46
Mexiko1993

Вложений: 2

Извините, прилагаю

Извините, прилагаю
25.12.2012, 19:54
thyrex

Лог МВАМ не тот, что нужно. Читайте внимательно
25.12.2012, 23:04
Mexiko1993

Вложений: 1

Вроде разобрался с логами

Вроде разобрался с логами
26.12.2012, 00:30
миднайт

В AVZ выполните скрипт:

[code]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\yaoludbw.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
26.12.2012, 07:46
Mexiko1993

Сделал. Спасибо!
26.12.2012, 22:35
миднайт

Файл в карантин не попал. Скорее всего его нет на диске. Что с проблемами сейчас?
26.12.2012, 22:45
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\umo\\главное меню\\программы\\автозагрузка\\vppfzxtimrk.exe - [B]Trojan-Spy.Win32.Carberp.tft[/B] ( DrWEB: Trojan.Carberp.789, BitDefender: Trojan.Generic.KDV.800474, AVAST4: Win32:LockScreen-PC [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]