Carberp

Здравствуйте.

Не так давно к вам обращался [URL]http://virusinfo.info/showthread.php?t=119373[/URL] и снова подобный вирус, только теперь он долбиться на какие то сайты в сети, NOD 32 его блокирует. Также на диске С создаются папки подобного вида [URL]http://virusinfo.info/showthread.php?t=117456[/URL] в пункте 5. Плюс начал вырубаться Апач, я так полагаю вирус внедряется в какой то из svchost.exe и занимает порт 80, хотя при выполнении команды netstat -anb этого не видно.

Сделал сканирование Curelit, он нашел несколько вирусов Carberp, но после лечения папки вида gH5rzYh050LuUTA все равно создаются на системном диске.
c:\documents and settings\администратор\главное меню\программы\автозагрузка\izflzbjpkg8.exe инфицирован Trojan.Carberp.486 - удален
C:\DOCUME~1\9335~1\LOCALS~1\Temp\1114.tmp инфицирован Trojan.Carberp.486 - удален
>>C:\DOCUME~1\9335~1\LOCALS~1\Temp\1F2.tmp , возможно, инфицирован Trojan.Carberp
>>C:\DOCUME~1\9335~1\LOCALS~1\Temp\3AA.tmp , возможно, инфицирован Trojan.Carberp
>>C:\DOCUME~1\9335~1\LOCALS~1\Temp\48.tmp , возможно, инфицирован Trojan.Carberp
C:\iIl0jnn0EH3USEG\klpclst.dat инфицирован Trojan.Carberp.30 - удален

Еще из изменений на компе:
- Появился новый пользователь вот с такой структурой папок - C:\Documents and Settings\u0410\u0434\u043C\u0438\u043D\u0438\u0441\u0442\u0440\u0430\u0442\u043E\u0440\u0420\u0430\u0431\u043E\u0447\u0438\u0439
- Периодически пропадает интернет раз в полчаса примерно на 2-3 минуты.

Помогите убить гадов.

P.S. Посоветуйте как защитить компьютер от подобных троянов, т.к. обращаюсь уже второй раз за месяц. Сейчас стоит NOD 32 + Outpost Firewall PRO 6.7.2, они абсолютно бесполезны.

Уважаемый(ая) [B]anton2011[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]

Логи приложил
[ATTACH]363988[/ATTACH][ATTACH]363989[/ATTACH][ATTACH]363990[/ATTACH]

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные ниже записи[/b] [code]Обнаруженные ключи в реестре: 4
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CronosPro (Spyware.Passwords.XGen) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Spyware.Passwords.XGen) -> Действие не было предпринято.
HKCU\SOFTWARE\WINXGZ (Trojan.Agent) -> Действие не было предпринято.
HKLM\SOFTWARE\StimulProfit (Adware.Agent) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 1
HKCU\Software\winxgz|exerunner (Trojan.Agent) -> Параметры: was -> Действие не было предпринято.

Обнаруженные файлы: 6
C:\Documents and Settings\Администратор\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.[/code]

C:\gH5rzYh050LuUTA удалите вручную

Все сделал, приложил лог.

Проблема решена?

Не решена. Сегодня на диске C опять папка появилась gH5rzYh050LuUTA\pgche.
Апач в денвере не работает, перепробовал все, что можно, обновлений винды не было, никаких изменений в системе не было, последний раз пользовался денвером на прошлой неделе, поэтому грешу на вирус.

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

Здравствуйте.

Сделал сканирование, лог приложил.

Сиптомы после отались теже, папка на диске С:\gH5rzYh050LuUTA, апач вылетает.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt [B]на диск C:\. [/B]
[code]
KillAll::

File::

Driver::

NetSvc::

Folder::
C:\gH5rzYh050LuUTA
Registry::

FileLook::

DirLook::
Reboot::
[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://safezone.cc/images/cfscript.gif[/IMG]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Не удается выполнить скрипт, окно AutoScan провисело целый день и никакой реакции далее не последовало и лог не появился. Антивирус и файервол отключал.

Что делать?

Здравствуйте.

Удалось все сделать, не с того диска запустил первый раз.

Лог приложил.

Что с проблемой?

Удалите папку C:\gH5rzYh050LuUTA

После перезагрузки папка появилась. Апач не работает, либо вирус жив либо следы остались.

Сделайте лог [URL="http://support.kaspersky.ru/viruses/solutions?qid=208636926"]TDSSkiller[/URL]

Здравствуйте.

TDSSkiller нашел один подозрительный файл. Лог приложил.

Чей ip 195.206.39.194 ?

Combofix повторите.

Чей ip 195.206.39.194 ?

Беспонятия. По whois это йпишник принадлежить ДСИ, у меня другой оператор - БТК. Вероятно надо удалить.

Сделал Combofix, лог приложил.

- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{B565EA9E-03A4-4BB9-AEB3-1F2218D1ED0E}: NameServer = 195.206.39.194[/CODE]
Если перестанет работать интернет, пропишите ДНС вручную, например 8.8.8.8

Порты сами открывали?
[CODE][HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4
"3587:TCP"= 3587:TCP:Группирование одноранговой сети Windows
"3540:UDP"= 3540:UDP:PNRP-протокол (Peer Name Resolution Protocol)[/CODE]

Пофиксил. Порты я не открывал.

Перезагрузил комп папка gH5rzYh050LuUTA опять появилась. Есть еще варианты действий:) ?

[quote="anton2011;893466"]Перезагрузил комп папка gH5rzYh050LuUTA[/quote]
А перед перезагрузкой Вы ее удаляли?

Конечно удалил.

hijackthis повторите

Приложил лог hijackthis.

Combofix тоже повторите.

Здравствуйте.

Повторил, приложил лог.

Скачайте ComboFix заново и повторите сбор лога

Переделал Комбофикс.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск C:\.
[code]
KillAll::

File::

Driver::

NetSvc::

Folder::
C:\gH5rzYh050LuUTA
Registry::

FileLook::

DirLook::
Reboot::
[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://safezone.cc/images/cfscript.gif[/IMG]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Всё сделал, лог приложил.
После перезагрузки компа папка gH5rzYh050LuUTA на своем месте.

[quote="anton2011;894229"]После перезагрузки компа папка gH5rzYh050LuUTA на своем месте.[/quote]
Что в ней?

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в AVZ[/URL] скрипт из файла [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]
- Откройте файл [B]avz_log.txt[/B] из под-папки [B]LOG[/B].
- Пройдитесь по ссылкам из файла [B]avz_log.txt[/B] и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

Повторите логи АВЗ, TDSSKiller, MBAM.

- [URL="http://virusinfo.info/showthread.php?t=49691&highlight=RSIT"]Сделайте лог RSIT[/URL]

В АВЗ Ошибка скрипта: Undeclared identifier: 'FileLastWriteTime', позиция [173:48]

Вышла новая версия АВЗ, скачайте её, в ней запуститься...