Вероятно модифицированный Win32/TrojanDownloader.Carberp.AD
Здравствуйте!
После загрузки XP внизу справа EZET выдал сообщение
Обнаружена угроза в памяти
Объект: оперативная память>explorer.exe(174
Угроза:Вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа
Информация:очистка невозможна
Также не работает интернет - внизу справа сообщение"Подключение по локальной сети 2 ограничено или отсутствует"
Не удалось отключить Восстановление системы - не активен соответствующий значок.
Когда в ходе 1-го пункта после работы AVZ перегрузил комп не удалось включить все компоненты защиты EZET NODE32 - а именно защиту доступа в интернет.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Olm, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
По факту удалось только одну строку профиксить из указанных трех. Причем после этого в логе все равно остается R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
Еще обращает на себя внимание O4 - Startup: DyRHwtXkIi0.exe
ПРоблема остается без изменений - при открытии (вызове) EZET сообщение
"Обнаружена угроза в памяти
Объект: оперативная память>explorer.exe(174
Угроза:Вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа
Информация:очистка невозможна"
Также не работает интернет - внизу справа сообщение"Подключение по локальной сети 2 ограничено или отсутствует"
Однако появилась возможность отключить восстановление системы.
Сделал сканирование TDSSkiller - но толку не было никакого...
В общем решил лечить самостоятельно и ВЫЛЕЧИЛ!!!
Анализ последнего приложенного здесь hijackthis.log и ComboFix.txt показал следующее
1. В автозагрузке есть процесс
O4 - Startup: DyRHwtXkIi0.exe
Запускается из c:\documents and settings\1\Главное меню\Программы\Автозагрузка\
2. Никаких посторонних процессов в системе нет, процесс explorer.exe присутствует в системе - он штатный.
Расположен C:\WINDOWS\Explorer.EXE
Для работы процесс использует dll из:
c:\windows\system32\WININET.dll
c:\windows\system32\msi.dll
ЧТО БЫЛО СДЕЛАНО ДЛЯ ЛЕЧЕНИЯ:
1. С незараженной машины были скопированы Explorer.EXE, WININET.dll, msi.dll
2. Были найдены DyRHwtXkIi0.exe и Explorer.EXE на зараженной машине, естественно после загрузки ОС попытки их удалить/переименовать не привели к успеху - "Отказано в доступе, файл занят другим приложением"
3. Загрузился с другого винчестера с ОС Windows 7, получил доступ к зараженному винчестеру с правами Администратора,
удалил ВРУЧНУЮ E:\documents and settings\1\Главное меню\Программы\Автозагрузка\DyRHwtXkIi0.exe
заменил E:\WINDOWS\Explorer.EXE на "чистый", обратил ВНИМАНИЕ ЧТО ФАЙЛЫ ЧИСТЫЙ И ЗАРАЖЕННЫЙ ОТЛИЧАЮТСЯ ПО РАЗМЕРУ!!!
Файлы dll НЕ МЕНЯЛ!!!
4. Перезагрузился в XP, запустил EZET, ждал 5 минут, сообщение "Обнаружена угроза в памяти
Объект: оперативная память>explorer.exe(174 Угроза:Вероятно модифицированный ......" так И НЕ ПОЯВИЛОСЬ!!!
5. Сделал лог hijackthis, строка O4 - Startup: DyRHwtXkIi0.exe ИСЧЕЗЛА!!!
6. На всякий случай сделал скрипт в AVZ такого содержания
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\documents and settings\1\Главное меню\Программы\Автозагрузка\DyRHwtXkIi0.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Комп перезагрузился.
7.Однако после перезагрузки не появилась сеть, по прежнему сообщение "Подключение по локальной сети 2 ограничено или отсутствует".
Скачал WinSockFix, запустил, Комп перезагрузился.
8. После перезагрузки появилась сеть, а вот сообщение "Обнаружена угроза в памяти...." так и не появилось, чему ОЧЕНЬ РАД))))))
Резюме:
1.Хелперам - ВНИМАТЕЛЬНО ЧИТАТЬ ЛОГИ, там все написано.
2.СПАСИБО хелперам за приобретенный мною личный опыт.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: