ESET обнаружил Carberp.AF

**Матаи Шанг** · 15.06.2012, 21:43

ESET обнаружил Carberp.AF помогите, через АВЗ скриптvirusinfo_syscure.zip virusinfo_syscure.zip

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 15.06.2012, 21:44

Уважаемый(ая) Матаи Шанг, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Дeнис** · 15.06.2012, 21:50

Матаи Шанг, + сделайте еще лог RSIT!

**Матаи Шанг** · 15.06.2012, 23:49

log.txt

- - - Updated - - -

info.txt

**Дeнис** · 16.06.2012, 00:37

Матаи Шанг,

Здравствуйте!

1.Отключите Антивирус/Фаервол.

2.Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\wwxklic.exe');
 QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\IX0Xmmrfq4o.exe','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\ohvrwej','');
 QuarantineFile('c:\docume~1\9335~1\locals~1\temp\wwxklic.exe','');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\ohvrwej');
 DeleteFile('c:\docume~1\9335~1\locals~1\temp\wwxklic.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\IX0Xmmrfq4o.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки!

3.Пришлите карантин согласно Приложения 2 правил по красной ссылке
Прислать запрошенный карантин вверху темы

4.Пофиксите в HijackThis что осталось:

Код:

O2 - BHO: (no name) - {C93F72A2-2162-4BBA-A07A-F13663C297A6} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

5.Выполните этот скрипт и прикрепите fystemRoot.log,который появится в папке с AVZ.
____________________

Смените все пароли

Обновите Java до актуальной версии
Обновите Adobe Flash Player до актуальной версии

Далее

Сделайте новые логи по правилам!
Сделайте лог TDSSkiller
Сделайте лог MBAM

**Матаи Шанг** · 16.06.2012, 11:14

fystemRoot.log

- - - Updated - - -

tdsskiller-log.txt

- - - Updated - - -

mbam-log-2012-06-16 (13-35-27).txt

- - - Updated - - -

Теперь все работает, антивирус больше не находит троянов. Большое спасибо, вы мне очень помогли, спасибо еще раз)

**Techno** · 17.06.2012, 10:40

- Пофиксите в HijackThis:

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{43218AD1-9293-43EF-B647-DE8C9DBAF114}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{653F9B19-6DA7-4104-AF83-B9FBE307AFC2}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{96FB22FC-A93D-4A7E-A784-5C27068E79D7}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC7BCB5D-63CE-457C-8B44-C61766A11375}: NameServer = 127.0.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{43218AD1-9293-43EF-B647-DE8C9DBAF114}: NameServer = 127.0.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{43218AD1-9293-43EF-B647-DE8C9DBAF114}: NameServer = 127.0.0.1

Смените все пароли

Обновляйтесь...

**CyberHelper** · 18.06.2012, 10:40

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 10
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\администратор\\главное меню\\программы\\автозагрузка\\ix0xmmrfq4o.exe - Trojan.Win32.Jorik.Carberp.bvu ( DrWEB: Trojan.Carberp.486, BitDefender: Gen:Variant.Barys.5161, NOD32: Win32/TrojanDownloader.Carberp.AJ trojan, AVAST4: Win32:Dropper-gen [Drp] )
2. c:\\docume~1\\9335~1\\locals~1\\temp\\ohvrwej - Trojan.BAT.VKhost.ed ( AVAST4: BV:QHost-BF [Trj] )
3. c:\\docume~1\\9335~1\\locals~1\\temp\\wwxklic.exe - not-a-virus:Server-Web.Win32.SmallHTTP.30565 ( DrWEB: Program.Server.260, BitDefender: Trojan.Generic.7542574 )
4. c:\\windows\\system32\\cpldapu\\produkey.exe - not-a-virus:PSWTool.Win32.ProductKey.bw ( DrWEB: Tool.PassSteel.591, BitDefender: Application.Nirsoft.ProduKey.A )

ESET обнаружил Carberp.AF (заявка № 121463)

Опции темы

ESET обнаружил Carberp.AF

Итог лечения

Похожие темы

ESET обнаружил Carberp.AF, но удалить не может. Прошу помощи!

Nod обнаружил троян TrojanDownloader.Carberp.AF очистка невозможна

Eset Smart Security обнаружил:Оперативная память » explorer.exe(1644)вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа-очистка невозможна

ESET Smart Security 4 обнаружил в оперативке Win32/TrojanDownloader.Carberp.AF

NOD ESET SS4 Обнаружил Win32/TrojanDownloader.Carberp.AF. Нет лечения

Метки для этой темы

Ваши права в разделе