Показано с 1 по 8 из 8.

Carberp.AF - очистка невозможна (заявка № 121502)

  1. #1
    Junior Member Репутация
    Регистрация
    17.06.2012
    Сообщений
    3
    Вес репутации
    44

    Carberp.AF - очистка невозможна

    Здравствуйте!
    У меня домашний ПК, ОС WinXP Service Pack 3 (сборка by Zver).
    Проблема:
    ESET поймал следующее: "Оперативная память = explorer.exe(xxxx) вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна."
    Где XXXX - различные цифры.

    По инструкции сделал с п.2
    Логи:
    Вложение 366913
    virusinfo_syscure.zip
    hijackthis.log
    log.txt

    Заранее благодарю!
    P.S.
    А еще у меня svchost.exe в пользователе (-ВоздуХ-) висит, антивир блокирует какой-то lignass (сайт)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) user_404, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Код:
    C:\Program Files\Searchster.Net
    C:\Program Files\SM
    Сами установили? Если нет, удалите через установку/удаление программ.

    - Выполните в АВЗ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    
     QuarantineFile('C:\WINDOWS\system32\4.tmp','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\bB.dll','');
     QuarantineFile('C:\Program Files\SM\SubsHelper.dll','');
     QuarantineFile('C:\Program Files\Searchster.Net\MinBHO.dll','');
     QuarantineFile('C:\WINDOWS\system32\machineupdate32.exe','');
     QuarantineFile('C:\Documents and Settings\Наташа\Application Data\lsass.exe','');
     QuarantineFile('C:\DOCUME~1\--EF7D~1\LOCALS~1\Temp\329991.exe','');
     DeleteFile('C:\DOCUME~1\--EF7D~1\LOCALS~1\Temp\329991.exe');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
     DeleteFile('C:\Documents and Settings\Наташа\Application Data\lsass.exe');
     DeleteFile('C:\WINDOWS\system32\machineupdate32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\bB.dll');
     DeleteFile('C:\WINDOWS\system32\4.tmp');
    executeRepair(15);
    executeRepair(10);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Обновите базы АВЗ (АВЗ -> меню "Файл" -> "Обновление баз" -> "Пуск") и повторите логи.


    - Сделайте лог полного сканирования MBAM.


  5. #4
    Junior Member Репутация
    Регистрация
    17.06.2012
    Сообщений
    3
    Вес репутации
    44
    После удаления почистил реестр. Зря, да?
    Через MBAM сканировало более полтора часа. Сейчас через форму отправки отправлю два файла - логи того самого MBAM и quarantine.zip

    - - - Updated - - -

    mbam-log-2012-06-17 (15-34-30).txt
    Логи MBAM

    Проблема после предложенного не решилась - вирус остался. Надеюсь, логи с карантином помогут
    Кстати, в реестре были екзешники вируса. Видимо, того самого svchost

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Лог MBAM у меня не открывается, что-то с кодировкой...


  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Дeнис
    Регистрация
    06.10.2011
    Адрес
    Россия
    Сообщений
    2,607
    Вес репутации
    138
    user_404, Удалите в MBAM только

    Код:
    Обнаруженные ключи в реестре:  7
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{2863E737-DD3F-4280-9AF8-E9E79C16F312} (Adware.SkyMediaPack) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2863E737-DD3F-4280-9AF8-E9E79C16F312} (Adware.SkyMediaPack) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{F334C7B0-8774-4D5B-BD7A-4F448D03A1AE} (Adware.SkyLab) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{F334C7B0-8774-4D5B-BD7A-4F448D03A1AE} (Adware.SkyLab) -> Действие не было предпринято.
    HKCU\SOFTWARE\AdTools, Inc. (Adware.AdTools) -> Действие не было предпринято.
    HKCU\Software\winxarj (Hoax.ArchSMS) -> Действие не было предпринято.
    HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> Действие не было предпринято.
    
    Обнаруженные параметры в реестре:  2
    HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: 秫㟢횸�䌅ᒃ捰덧௤秌캣႞Действие не было предпринято.
    HKLM\SYSTEM\CurrentControlSet\Services\block_reader|DisplayName (Trojan.LdPinch) -> Параметры: MPR DRV -> Действие не было предпринято.
    
    Объекты реестра обнаружены:  2
    HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
    HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore|DisableConfig (Windows.Tool.Disabled) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
    
    Обнаруженные файлы:  16
    D:\System Volume Information\_restore{1647E715-6C74-43B5-9BCD-82E139064446}\RP119\A0067073.exe (Malware.Packer.Krunchy) -> Действие не было предпринято.
    D:\System Volume Information\_restore{1647E715-6C74-43B5-9BCD-82E139064446}\RP142\A0076018.exe (Trojan.Agent) -> Действие не было предпринято.
    D:\System Volume Information\_restore{1647E715-6C74-43B5-9BCD-82E139064446}\RP142\A0076020.exe (Trojan.Agent) -> Действие не было предпринято.
    D:\System Volume Information\_restore{F3C492D5-DC63-43A9-AC52-B41E3A1DA0F7}\RP102\A0062351.exe (HackTool.GamesCheat) -> Действие не было предпринято.
    D:\System Volume Information\_restore{F3C492D5-DC63-43A9-AC52-B41E3A1DA0F7}\RP102\A0062368.exe (Trojan.Downloader) -> Действие не было предпринято.
    C:\Documents and Settings\-ВоздуХ-\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
    C:\Documents and Settings\Наташа\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
    C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

  8. Это понравилось:


  9. #7
    Junior Member Репутация
    Регистрация
    17.06.2012
    Сообщений
    3
    Вес репутации
    44
    Совсем? :C
    У меня кстати MBAM notepad.exe считает за вирус o_O

    - - - Updated - - -

    Hotab, а куда вставлять код? в АВЗ?

    - - - Updated - - -

    Тьфу, ну что за идиотский вопрос. Сейчас попробую!

  10. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 16
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\4.tmp - Trojan.Win32.Cidox.ill ( DrWEB: Trojan.Mayachok.1, BitDefender: Gen:Variant.Zusy.8988, AVAST4: Win32:Vundo-TI [Trj] )


  • Уважаемый(ая) user_404, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32/TrojanDownloader.Carberp.AF - очистка невозможна- NOD32
      От dante15789 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.05.2012, 13:24
    2. TrojanDownloader.Carberp.AD – очистка невозможна
      От Andrey P в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 07.04.2012, 11:09
    3. Win32/TrojanDownloader.Carberp.AF - очистка невозможна
      От Apelsinno в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 29.02.2012, 14:27
    4. Win32/TrojanDownloader.Carberp.AH - очистка невозможна
      От Apelsinno в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 11.02.2012, 14:03
    5. win32 trojandownloader.carberp.ad очистка невозможна
      От BES909 в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 06.01.2012, 00:40

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01408 seconds with 20 queries