Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 35.

Carberp (заявка № 120456)

  1. #1
    Junior Member Репутация
    Регистрация
    18.04.2012
    Сообщений
    23
    Вес репутации
    21

    Carberp

    Здравствуйте.

    Не так давно к вам обращался http://virusinfo.info/showthread.php?t=119373 и снова подобный вирус, только теперь он долбиться на какие то сайты в сети, NOD 32 его блокирует. Также на диске С создаются папки подобного вида http://virusinfo.info/showthread.php?t=117456 в пункте 5. Плюс начал вырубаться Апач, я так полагаю вирус внедряется в какой то из svchost.exe и занимает порт 80, хотя при выполнении команды netstat -anb этого не видно.

    Сделал сканирование Curelit, он нашел несколько вирусов Carberp, но после лечения папки вида gH5rzYh050LuUTA все равно создаются на системном диске.
    c:\documents and settings\администратор\главное меню\программы\автозагрузка\izflzbjpkg8.exe инфицирован Trojan.Carberp.486 - удален
    C:\DOCUME~1\9335~1\LOCALS~1\Temp\1114.tmp инфицирован Trojan.Carberp.486 - удален
    >>C:\DOCUME~1\9335~1\LOCALS~1\Temp\1F2.tmp , возможно, инфицирован Trojan.Carberp
    >>C:\DOCUME~1\9335~1\LOCALS~1\Temp\3AA.tmp , возможно, инфицирован Trojan.Carberp
    >>C:\DOCUME~1\9335~1\LOCALS~1\Temp\48.tmp , возможно, инфицирован Trojan.Carberp
    C:\iIl0jnn0EH3USEG\klpclst.dat инфицирован Trojan.Carberp.30 - удален

    Еще из изменений на компе:
    - Появился новый пользователь вот с такой структурой папок - C:\Documents and Settings\u0410\u0434\u043C\u0438\u043D\u0438\u0441 \u0442\u0440\u0430\u0442\u043E\u0440\u0420\u0430\u 0431\u043E\u0447\u0438\u0439
    - Периодически пропадает интернет раз в полчаса примерно на 2-3 минуты.

    Помогите убить гадов.

    P.S. Посоветуйте как защитить компьютер от подобных троянов, т.к. обращаюсь уже второй раз за месяц. Сейчас стоит NOD 32 + Outpost Firewall PRO 6.7.2, они абсолютно бесполезны.
    Вложения Вложения
    Последний раз редактировалось anton2011; 19.05.2012 в 15:39.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,459
    Вес репутации
    342
    Уважаемый(ая) anton2011, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,353
    Вес репутации
    3019
    Сделайте лог полного сканирования МВАМ
    Сделайте логи RSIT
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    18.04.2012
    Сообщений
    23
    Вес репутации
    21

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,353
    Вес репутации
    3019
    Удалите в МВАМ только указанные ниже записи
    Код:
    Обнаруженные ключи в реестре:  4
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CronosPro (Spyware.Passwords.XGen) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Spyware.Passwords.XGen) -> Действие не было предпринято.
    HKCU\SOFTWARE\WINXGZ (Trojan.Agent) -> Действие не было предпринято.
    HKLM\SOFTWARE\StimulProfit (Adware.Agent) -> Действие не было предпринято.
    
    Обнаруженные параметры в реестре:  1
    HKCU\Software\winxgz|exerunner (Trojan.Agent) -> Параметры: was -> Действие не было предпринято.
    
    Обнаруженные файлы:  6
    C:\Documents and Settings\Администратор\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
    C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
    C:\gH5rzYh050LuUTA удалите вручную
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    18.04.2012
    Сообщений
    23
    Вес репутации
    21
    Все сделал, приложил лог.
    Вложения Вложения

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,353
    Вес репутации
    3019
    Проблема решена?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    18.04.2012
    Сообщений
    23
    Вес репутации
    21
    Не решена. Сегодня на диске C опять папка появилась gH5rzYh050LuUTA\pgche.
    Апач в денвере не работает, перепробовал все, что можно, обновлений винды не было, никаких изменений в системе не было, последний раз пользовался денвером на прошлой неделе, поэтому грешу на вирус.

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,353
    Вес репутации
    3019
    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    18.04.2012
    Сообщений
    23
    Вес репутации
    21
    Здравствуйте.

    Сделал сканирование, лог приложил.

    Сиптомы после отались теже, папка на диске С:\gH5rzYh050LuUTA, апач вылетает.
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск C:\.
    Код:
    KillAll::
    
    File::
    
    Driver::
    
    NetSvc::
    
    Folder::
    C:\gH5rzYh050LuUTA
    Registry::
    
    FileLook::
    
    DirLook::
    Reboot::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.


  13. #12
    Junior Member Репутация
    Регистрация
    18.04.2012
    Сообщений
    23
    Вес репутации
    21
    Не удается выполнить скрипт, окно AutoScan провисело целый день и никакой реакции далее не последовало и лог не появился. Антивирус и файервол отключал.
    Последний раз редактировалось anton2011; 26.05.2012 в 21:41.

  14. #13
    Junior Member Репутация
    Регистрация
    18.04.2012
    Сообщений
    23
    Вес репутации
    21
    Что делать?

  15. #14
    Junior Member Репутация
    Регистрация
    18.04.2012
    Сообщений
    23
    Вес репутации
    21
    Здравствуйте.

    Удалось все сделать, не с того диска запустил первый раз.

    Лог приложил.
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    Что с проблемой?

    Удалите папку C:\gH5rzYh050LuUTA


  17. #16
    Junior Member Репутация
    Регистрация
    18.04.2012
    Сообщений
    23
    Вес репутации
    21
    После перезагрузки папка появилась. Апач не работает, либо вирус жив либо следы остались.

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,353
    Вес репутации
    3019
    Сделайте лог TDSSkiller
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    18.04.2012
    Сообщений
    23
    Вес репутации
    21
    Здравствуйте.

    TDSSkiller нашел один подозрительный файл. Лог приложил.
    Вложения Вложения

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    Чей ip 195.206.39.194 ?

    Combofix повторите.


  21. #20
    Junior Member Репутация
    Регистрация
    18.04.2012
    Сообщений
    23
    Вес репутации
    21
    Чей ip 195.206.39.194 ?

    Беспонятия. По whois это йпишник принадлежить ДСИ, у меня другой оператор - БТК. Вероятно надо удалить.

    Сделал Combofix, лог приложил.
    Вложения Вложения

  • Уважаемый(ая) anton2011, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. carberp.ad
      От Likhunov в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 06.05.2012, 12:11
    2. Carberp
      От Kel9290 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 14.04.2012, 15:24
    3. Все тот же Carberp.AD
      От aleko.07 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.03.2012, 11:44
    4. Carberp.AD
      От Магазин Autostar в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 04.11.2011, 17:44

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00110 seconds with 17 queries