Словил траян Win32/TrojanDownloader.Carberp.AM! Победить не могу)))
Выкладываю сообщения файлы логов.
Словил траян Win32/TrojanDownloader.Carberp.AM! Победить не могу)))
Выкладываю сообщения файлы логов.
Уважаемый(ая) [B]slon_1[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])
[B][COLOR=#000080]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\9BtoLsVJr0U.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\9BtoLsVJr0U.exe','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
Сделайте новые логи AVZ
[LIST][*]Если у вас [B][URL="http://windows.microsoft.com/ru-ru/windows-vista/32-bit-and-64-bit-Windows-frequently-asked-questions"]32 разрядная версия windows[/URL][/B], то скачайте [URL="http://safezone.cc/random/RSIT.exe"][B]Random's System Information Tool (RSIT)[/B][/URL] или с [URL="http://images.malwareremoval.com/random/RSIT.exe"]зеркала[/URL][*]Если у вас [B][URL="http://windows.microsoft.com/ru-ru/windows-vista/32-bit-and-64-bit-Windows-frequently-asked-questions"]64 разрядная версия windows[/URL][/B], то необходимо скачать эту версию [URL="http://safezone.cc/random/RSITx64.exe"][B]Random's System Information Tool(RSIT)x64[/B][/URL] или с [URL="http://images.malwareremoval.com/random/RSITx64.exe"]зеркала[/URL][/LIST]
Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([B]RSIT[/B]) в корне системного диска.
Смените все пароли!
Новые логи AVZ
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Логи RSIT
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFileF('C:\Documents and Settings\Администратор\Application Data\glOLiBHlSl0', '*', true, ' ', 0, 0);
QuarantineFileF('C:\Documents and Settings\Администратор\Application Data\Vaeg', '*', true, ' ', 0, 0);
QuarantineFileF('C:\Documents and Settings\Администратор\Application Data\Bypyy', '*', true, ' ', 0, 0);
QuarantineFileF('C:\Documents and Settings\Администратор\Application Data\Ofibxe', '*', true, ' ', 0, 0);
QuarantineFileF('C:\Documents and Settings\Администратор\Application Data\Coxu', '*', true, ' ', 0, 0);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\zL8aGcS7uROQv1YhQovSmg.dat','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\zL8aGcS7uROQv1YhQovSmg.dat','32');
DeleteFileMask('C:\Documents and Settings\Администратор\Application Data\glOLiBHlSl0', '*', true, ' ');
DeleteFileMask('C:\Documents and Settings\Администратор\Application Data\Vaeg', '*', true, ' ');
DeleteFileMask('C:\Documents and Settings\Администратор\Application Data\Bypyy', '*', true, ' ');
DeleteFileMask('C:\Documents and Settings\Администратор\Application Data\Ofibxe', '*', true, ' ');
DeleteFileMask('C:\Documents and Settings\Администратор\Application Data\Coxu', '*', true, ' ');
DeleteDirectory('C:\Documents and Settings\Администратор\Application Data\glOLiBHlSl0'); DeleteDirectory('C:\Documents and Settings\Администратор\Application Data\Vaeg');
DeleteDirectory('C:\Documents and Settings\Администратор\Application Data\Bypyy');
DeleteDirectory('C:\Documents and Settings\Администратор\Application Data\Ofibxe');
DeleteDirectory('C:\Documents and Settings\Администратор\Application Data\Coxu');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
ExecuteRepair(8);
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
Сделайте новые логи RSIT.
Новые логи RSIT
Что с проблемой?
Все отлично. Антивирус не ругается. Единственное - может зачистить, что-то нужно?
Благодарю Михаил. Сработано оперативно и хорошо.
1. Для очистки карантина AVZ выполните скрипт в AVZ:
[CODE]
begin
ClearQuarantine;
end.
[/CODE]
2. [LIST][*]Загрузите [B]SecurityCheck by glax24[/B] [URL="http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe"]отсюда[/URL] и сохраните утилиту на [I]Рабочем столе[/I][*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7[/I])[*]Если увидите [U]предупреждение от вашего фаервола[/U] относительно программы SecurityCheck, не блокируйте ее работу.[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B];[*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*][/LIST]
лог SecurityCheck
[B]Установите обновления:[/B]
Java(TM) 6 Update 17 v.6.0.170 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/1880261]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию и установите новую (jre-7u40-windows-i586.exe)^[/b][/color]
Java(TM) 6 Update 6 v.1.6.0.60 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/1880261]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию и установите новую (jre-7u40-windows-i586.exe)^[/b][/color]
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.7.700.169 [color=red][b]Внимание! [url=http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_11_active_x.exe]Скачать обновления[/url][/b][/color]
Adobe Flash Player 11 Plugin v.11.7.700.202 [color=red][b]Внимание! [url=http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_11_plugin.exe]Скачать обновления[/url][/b][/color]
Adobe Reader X (10.1.8) - Russian v.10.1.8 [color=red][b]Внимание! [url=http://get.adobe.com/reader/]Скачать обновления[/url][/b][/color]
Eset Nod32 обновите по этой [url]http://www.esetnod32.ru/download/home/trial/[/url] ссылке.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\администратор\\application data\\glolibhlsl0\\klpclst.dat - [B]Trojan.Script.Carberp.a[/B] ( DrWEB: Trojan.Carberp.30 )[*] c:\\documents and settings\\администратор\\главное меню\\программы\\автозагрузка\\9btolsvjr0u.exe - [B]Trojan-Spy.Win32.Carberp.actg[/B] ( BitDefender: Trojan.GenericKDV.1311763 )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]