-
Junior Member
- Вес репутации
- 44
Carberp.AF - очистка невозможна
Здравствуйте!
У меня домашний ПК, ОС WinXP Service Pack 3 (сборка by Zver).
Проблема:
ESET поймал следующее: "Оперативная память = explorer.exe(xxxx) вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна."
Где XXXX - различные цифры.
По инструкции сделал с п.2
Логи:
Вложение 366913
virusinfo_syscure.zip
hijackthis.log
log.txt
Заранее благодарю!
P.S.
А еще у меня svchost.exe в пользователе (-ВоздуХ-) висит, антивир блокирует какой-то lignass (сайт)
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) user_404, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Код:
C:\Program Files\Searchster.Net
C:\Program Files\SM
Сами установили? Если нет, удалите через установку/удаление программ.
- Выполните в АВЗ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\4.tmp','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\bB.dll','');
QuarantineFile('C:\Program Files\SM\SubsHelper.dll','');
QuarantineFile('C:\Program Files\Searchster.Net\MinBHO.dll','');
QuarantineFile('C:\WINDOWS\system32\machineupdate32.exe','');
QuarantineFile('C:\Documents and Settings\Наташа\Application Data\lsass.exe','');
QuarantineFile('C:\DOCUME~1\--EF7D~1\LOCALS~1\Temp\329991.exe','');
DeleteFile('C:\DOCUME~1\--EF7D~1\LOCALS~1\Temp\329991.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
DeleteFile('C:\Documents and Settings\Наташа\Application Data\lsass.exe');
DeleteFile('C:\WINDOWS\system32\machineupdate32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32');
DeleteFile('C:\Documents and Settings\All Users\Application Data\bB.dll');
DeleteFile('C:\WINDOWS\system32\4.tmp');
executeRepair(15);
executeRepair(10);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Обновите базы АВЗ (АВЗ -> меню "Файл" -> "Обновление баз" -> "Пуск") и повторите логи.
- Сделайте лог полного сканирования MBAM.
-
-
Junior Member
- Вес репутации
- 44
После удаления почистил реестр. Зря, да?
Через MBAM сканировало более полтора часа. Сейчас через форму отправки отправлю два файла - логи того самого MBAM и quarantine.zip
- - - Updated - - -
mbam-log-2012-06-17 (15-34-30).txt
Логи MBAM
Проблема после предложенного не решилась - вирус остался. Надеюсь, логи с карантином помогут
Кстати, в реестре были екзешники вируса. Видимо, того самого svchost
-
Лог MBAM у меня не открывается, что-то с кодировкой...
-
-
user_404, Удалите в MBAM только
Код:
Обнаруженные ключи в реестре: 7
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{2863E737-DD3F-4280-9AF8-E9E79C16F312} (Adware.SkyMediaPack) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2863E737-DD3F-4280-9AF8-E9E79C16F312} (Adware.SkyMediaPack) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{F334C7B0-8774-4D5B-BD7A-4F448D03A1AE} (Adware.SkyLab) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{F334C7B0-8774-4D5B-BD7A-4F448D03A1AE} (Adware.SkyLab) -> Действие не было предпринято.
HKCU\SOFTWARE\AdTools, Inc. (Adware.AdTools) -> Действие не было предпринято.
HKCU\Software\winxarj (Hoax.ArchSMS) -> Действие не было предпринято.
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 2
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: 秫㟢횸�䌅ᒃ捰덧秌캣႞Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\block_reader|DisplayName (Trojan.LdPinch) -> Параметры: MPR DRV -> Действие не было предпринято.
Объекты реестра обнаружены: 2
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore|DisableConfig (Windows.Tool.Disabled) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
Обнаруженные файлы: 16
D:\System Volume Information\_restore{1647E715-6C74-43B5-9BCD-82E139064446}\RP119\A0067073.exe (Malware.Packer.Krunchy) -> Действие не было предпринято.
D:\System Volume Information\_restore{1647E715-6C74-43B5-9BCD-82E139064446}\RP142\A0076018.exe (Trojan.Agent) -> Действие не было предпринято.
D:\System Volume Information\_restore{1647E715-6C74-43B5-9BCD-82E139064446}\RP142\A0076020.exe (Trojan.Agent) -> Действие не было предпринято.
D:\System Volume Information\_restore{F3C492D5-DC63-43A9-AC52-B41E3A1DA0F7}\RP102\A0062351.exe (HackTool.GamesCheat) -> Действие не было предпринято.
D:\System Volume Information\_restore{F3C492D5-DC63-43A9-AC52-B41E3A1DA0F7}\RP102\A0062368.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Documents and Settings\-ВоздуХ-\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\Наташа\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
-
-
Junior Member
- Вес репутации
- 44
Совсем? :C
У меня кстати MBAM notepad.exe считает за вирус o_O
- - - Updated - - -
Hotab, а куда вставлять код? в АВЗ?
- - - Updated - - -
Тьфу, ну что за идиотский вопрос. Сейчас попробую!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\4.tmp - Trojan.Win32.Cidox.ill ( DrWEB: Trojan.Mayachok.1, BitDefender: Gen:Variant.Zusy.8988, AVAST4: Win32:Vundo-TI [Trj] )
-