Не давно подхватил вирус carber!bat. Компьютер стал хуже работать + не пускает в социальные сети.
Проверка dr Web cureit не помогла, только узнал название вируса.
Помогите пожалуйста!
Не давно подхватил вирус carber!bat. Компьютер стал хуже работать + не пускает в социальные сети.
Проверка dr Web cureit не помогла, только узнал название вируса.
Помогите пожалуйста!
Последний раз редактировалось Bratez; 11.05.2012 в 15:31.
Уважаемый(ая) Bento, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Появилась новая проблема - в социальных сетях. Теперь на главную страницу пускает, но просит какую то "Валидацию аккаунта". В файле hosts пусто. Еще раз прошу помощи!
Пофиксите в HijackThis (как пофиксить):
Выполните скрипт в AVZ (как выполнить):Код:R3 - URLSearchHook: (no name) - - (no file) O17 - HKLM\System\CCS\Services\Tcpip\..\{0134E8BE-72BE-4DC9-BB98-CA13D6350080}: NameServer = 127.0.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{1D2BAB3C-E4F6-4310-AC2D-1AFD524E05E1}: NameServer = 127.0.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{26D94584-43D4-4DCC-ABF4-E031787F38A6}: NameServer = 127.0.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{82DFA815-8FE4-4E30-9914-CBA12EAA67F0}: NameServer = 127.0.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{9D2FA9EB-CF22-4AFE-84ED-744D053E5141}: NameServer = 127.0.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{CEA6DE99-09B5-458C-8EA3-E84352276C6F}: NameServer = 127.0.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{0134E8BE-72BE-4DC9-BB98-CA13D6350080}: NameServer = 127.0.0.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{0134E8BE-72BE-4DC9-BB98-CA13D6350080}: NameServer = 127.0.0.1
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\windows\temp\pfyhyhw.exe'); QuarantineFile('C:\Documents and Settings\Федор.COMPUTER-2F04A9\Главное меню\Программы\Автозагрузка\tc25Q1U1lcA.exe',''); QuarantineFile('c:\windows\temp\pfyhyhw.exe',''); DeleteFile('c:\windows\temp\pfyhyhw.exe'); DeleteFile('C:\Documents and Settings\Федор.COMPUTER-2F04A9\Главное меню\Программы\Автозагрузка\tc25Q1U1lcA.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.
Последний раз редактировалось Nikkollo; 08.05.2012 в 15:42.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Сделал
Последний раз редактировалось Bratez; 11.05.2012 в 15:32.
Что с проблемой?
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
В соц. сети входит, антивирус не ругается, правда все еще есть папка "gmPOpN1RaxRG4zo" внутри диска С. Что это может быть?
Смените все пароли.
Сделайте логи RSIT:
http://virusinfo.info/showthread.php...292#post859292
и приложите.
Добавлено через 1 минуту
Обновите Internet Explorer до актуальной версии (даже если не используете):
http://windows.microsoft.com/ru-RU/i...r/downloads/ie
Последний раз редактировалось Nikkollo; 10.05.2012 в 20:23. Причина: Добавлено
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Проблема вернулась!
Повторно сделал логи.
Последний раз редактировалось Bratez; 11.05.2012 в 15:32.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Федор.COMPUTER-2F04A9\Главное меню\Программы\Автозагрузка\tc25Q1U1lcA.exe',''); QuarantineFile('C:\WINDOWS\TEMP\ypchfvw.exe',''); DeleteFile('C:\WINDOWS\TEMP\ypchfvw.exe'); DeleteFile('C:\Documents and Settings\Федор.COMPUTER-2F04A9\Главное меню\Программы\Автозагрузка\tc25Q1U1lcA.exe'); DeleteService('XDva388'); DeleteService('XDva385'); DeleteService('jxxvdulv'); DeleteService('Guard.Mail.ru'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пофиксите в HijackThis:
Пришлите новый карантин согласно приложению 2 правил.Код:O2 - BHO: Play Pickle Text - {02F0243C-2E71-4a1a-A790-6C30888119D0} - C:\Program Files\Play Pickle\pptl.dll (file missing) O2 - BHO: (no name) - {61e0ef7a-9bc0-45ea-9b2f-f3e9f02692bd} - (no file) O3 - Toolbar: (no name) - {b278d9f8-0fa9-465e-9938-0c392605d8e3} - (no file) O17 - HKLM\System\CCS\Services\Tcpip\..\{0134E8BE-72BE-4DC9-BB98-CA13D6350080}: NameServer = 127.0.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{1D2BAB3C-E4F6-4310-AC2D-1AFD524E05E1}: NameServer = 127.0.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{26D94584-43D4-4DCC-ABF4-E031787F38A6}: NameServer = 127.0.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{82DFA815-8FE4-4E30-9914-CBA12EAA67F0}: NameServer = 127.0.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{9D2FA9EB-CF22-4AFE-84ED-744D053E5141}: NameServer = 127.0.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{CEA6DE99-09B5-458C-8EA3-E84352276C6F}: NameServer = 127.0.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{0134E8BE-72BE-4DC9-BB98-CA13D6350080}: NameServer = 127.0.0.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{0134E8BE-72BE-4DC9-BB98-CA13D6350080}: NameServer = 127.0.0.1
Сделайте новые логи.
I am not young enough to know everything...
Нового лога нету. Что делать?
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\федор.computer-2f04a9\\главное меню\\программы\\автозагрузка\\tc25q1u1lca.exe - Trojan-Spy.Win32.Carberp.kot ( DrWEB: Trojan.Carberp.276, BitDefender: Gen:Variant.Kazy.69069, AVAST4: Win32:Kryptik-IQU [Trj] )
- c:\\windows\\temp\\pfyhyhw.exe - Trojan-Ransom.Win32.Birele.mkf ( DrWEB: Trojan.Hottrend, BitDefender: Gen:Variant.Kazy.69393, AVAST4: Win32:Kryptik-IQU [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Bento, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.