Carberp.AF - очистка невозможна

**user_404** · 17.06.2012, 11:01

Здравствуйте!

У меня домашний ПК, ОС WinXP Service Pack 3 (сборка by Zver).
Проблема:
ESET поймал следующее: "Оперативная память = explorer.exe(xxxx) вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна."
Где XXXX - различные цифры.

По инструкции сделал с п.2
Логи:
Вложение 366913
virusinfo_syscure.zip
hijackthis.log
log.txt

Заранее благодарю!
P.S.
А еще у меня svchost.exe в пользователе (-ВоздуХ-) висит, антивир блокирует какой-то lignass (сайт)

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 17.06.2012, 11:06

Уважаемый(ая) user_404, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Techno** · 17.06.2012, 13:03

Код:

C:\Program Files\Searchster.Net
C:\Program Files\SM

Сами установили? Если нет, удалите через установку/удаление программ.

- Выполните в АВЗ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);

 QuarantineFile('C:\WINDOWS\system32\4.tmp','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\bB.dll','');
 QuarantineFile('C:\Program Files\SM\SubsHelper.dll','');
 QuarantineFile('C:\Program Files\Searchster.Net\MinBHO.dll','');
 QuarantineFile('C:\WINDOWS\system32\machineupdate32.exe','');
 QuarantineFile('C:\Documents and Settings\Наташа\Application Data\lsass.exe','');
 QuarantineFile('C:\DOCUME~1\--EF7D~1\LOCALS~1\Temp\329991.exe','');
 DeleteFile('C:\DOCUME~1\--EF7D~1\LOCALS~1\Temp\329991.exe');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
 DeleteFile('C:\Documents and Settings\Наташа\Application Data\lsass.exe');
 DeleteFile('C:\WINDOWS\system32\machineupdate32.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\bB.dll');
 DeleteFile('C:\WINDOWS\system32\4.tmp');
executeRepair(15);
executeRepair(10);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Обновите базы АВЗ (АВЗ -> меню "Файл" -> "Обновление баз" -> "Пуск") и повторите логи.

- Сделайте лог полного сканирования MBAM.

**user_404** · 17.06.2012, 15:37

После удаления почистил реестр. Зря, да?
Через MBAM сканировало более полтора часа. Сейчас через форму отправки отправлю два файла - логи того самого MBAM и quarantine.zip

- - - Updated - - -

mbam-log-2012-06-17 (15-34-30).txt
Логи MBAM

Проблема после предложенного не решилась - вирус остался. Надеюсь, логи с карантином помогут

Кстати, в реестре были екзешники вируса. Видимо, того самого svchost

**Techno** · 17.06.2012, 16:08

Лог MBAM у меня не открывается, что-то с кодировкой...

**Дeнис** · 17.06.2012, 16:13

user_404, Удалите в MBAM только

Код:

Обнаруженные ключи в реестре:  7
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{2863E737-DD3F-4280-9AF8-E9E79C16F312} (Adware.SkyMediaPack) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2863E737-DD3F-4280-9AF8-E9E79C16F312} (Adware.SkyMediaPack) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{F334C7B0-8774-4D5B-BD7A-4F448D03A1AE} (Adware.SkyLab) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{F334C7B0-8774-4D5B-BD7A-4F448D03A1AE} (Adware.SkyLab) -> Действие не было предпринято.
HKCU\SOFTWARE\AdTools, Inc. (Adware.AdTools) -> Действие не было предпринято.
HKCU\Software\winxarj (Hoax.ArchSMS) -> Действие не было предпринято.
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  2
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: 秫㟢횸�䌅ᒃ捰덧௤秌캣႞Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\block_reader|DisplayName (Trojan.LdPinch) -> Параметры: MPR DRV -> Действие не было предпринято.

Объекты реестра обнаружены:  2
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore|DisableConfig (Windows.Tool.Disabled) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Обнаруженные файлы:  16
D:\System Volume Information\_restore{1647E715-6C74-43B5-9BCD-82E139064446}\RP119\A0067073.exe (Malware.Packer.Krunchy) -> Действие не было предпринято.
D:\System Volume Information\_restore{1647E715-6C74-43B5-9BCD-82E139064446}\RP142\A0076018.exe (Trojan.Agent) -> Действие не было предпринято.
D:\System Volume Information\_restore{1647E715-6C74-43B5-9BCD-82E139064446}\RP142\A0076020.exe (Trojan.Agent) -> Действие не было предпринято.
D:\System Volume Information\_restore{F3C492D5-DC63-43A9-AC52-B41E3A1DA0F7}\RP102\A0062351.exe (HackTool.GamesCheat) -> Действие не было предпринято.
D:\System Volume Information\_restore{F3C492D5-DC63-43A9-AC52-B41E3A1DA0F7}\RP102\A0062368.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Documents and Settings\-ВоздуХ-\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\Наташа\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

**user_404** · 17.06.2012, 16:49

Совсем? :C
У меня кстати MBAM notepad.exe считает за вирус o_O

- - - Updated - - -

Hotab, а куда вставлять код? в АВЗ?

- - - Updated - - -

Тьфу, ну что за идиотский вопрос. Сейчас попробую!

**CyberHelper** · 18.06.2012, 16:27

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 16
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\4.tmp - Trojan.Win32.Cidox.ill ( DrWEB: Trojan.Mayachok.1, BitDefender: Gen:Variant.Zusy.8988, AVAST4: Win32:Vundo-TI [Trj] )

Carberp.AF - очистка невозможна (заявка № 121502)

Опции темы

Carberp.AF - очистка невозможна

Это понравилось:

Итог лечения

Похожие темы

Win32/TrojanDownloader.Carberp.AF - очистка невозможна- NOD32

TrojanDownloader.Carberp.AD – очистка невозможна

Win32/TrojanDownloader.Carberp.AF - очистка невозможна

Win32/TrojanDownloader.Carberp.AH - очистка невозможна

win32 trojandownloader.carberp.ad очистка невозможна

Метки для этой темы

Ваши права в разделе