-
Junior Member
- Вес репутации
- 44
Нужна помощь. Вероятно модифицированный Win32/TrojanDownloader.Carberp.AF
Первый раз за много лет подцепил гадость. Нод видит но лечить не хочет.
Помогите, пожалуйста, победить.
И поделитесь, как от него защититься в будущем!
Заранее спасибо!
19.05.2012 18:21:07 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(1392) вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна MICROSOF-C4CC75\Admin
Обновил базу AVZ и сделал логи в соотв. с инструкцией
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) timur_m, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sqQdLoU0K8s.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sqQdLoU0K8s.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 44
Здравствуйте, спасибо за ответ!
Выполнил все предписанные действия.
Сообщение от
thyrex
Выполните скрипт в AVZ
Пришлите карантин согласно
Приложения 2 правил по красной ссылке
Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог
полного сканирования МВАМ
Сделайте логи
RSIT
Скрипт выполнил. MBAM нашёл много возможных угроз, но на деле похожи на кейгены. Что с ними делать?
Карантин AVZ
<moderated>
Новые логи
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
Лог сканирования MBAM
mbam-log-2012-05-20 (15-50-57)2.txt
Логи RSIT
rsit_info.txt
rsit_log.txtВложение 363942
Последний раз редактировалось Bratez; 21.05.2012 в 00:56.
Причина: убрал virus.zip
-
timur_m, цитируете не читая? Вам же написали куда карантин загружать
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 44
Сообщение от
Bratez
timur_m, цитируете не читая? Вам же написали куда карантин загружать
Спасибо за замечание. Действительно был не внимателен. Исправил. Загрузил по ссылке в шапке.
Буду рад помощи!
Меня сейчас больше всего волнует, как защититься от этой заразы впредь и почему нод32 её упустил. Ну и найденные потенцильные вирусы.
-
Код:
C:\YkUkCxMvOzpNB78
C:\Documents and Settings\Admin\Application Data\YkUkCxMvOzpNB78
удалите вручную
Удалите в МВАМ только указанные ниже записи
Код:
HKCR\regfile\shell\open\command| (Broken.OpenCommand) -> Плохо: ("regedit.exe" "%1") Хорошо: (regedit.exe "%1") -> Действие не было предпринято.
Смените все пароли
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 44
Сообщение от
thyrex
Код:
C:\YkUkCxMvOzpNB78
C:\Documents and Settings\Admin\Application Data\YkUkCxMvOzpNB78
удалите вручную
Удалите в МВАМ только указанные ниже записи
Код:
HKCR\regfile\shell\open\command| (Broken.OpenCommand) -> Плохо: ("regedit.exe" "%1") Хорошо: (regedit.exe "%1") -> Действие не было предпринято.
Смените все пароли
Доброе утро!
Всё сделал, спасибо за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\sqqdlou0k8s.exe - Trojan-Spy.Win32.Carberp.lxi ( DrWEB: Trojan.Carberp.486, BitDefender: Gen:Heur.ManBat.1, AVAST4: Win32:MalOb-KL [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-