После Troyan-Spy.Win32.Carberp нет доступа к некоторым сайтам в инете

**lxsin** · 18.07.2012, 14:53

Был пойман троян, который поселился в переставшем работать банк-клиенте. Также обнаружилась проблема, что из браузеров закрыт доступ на сайты антивирусов Kaspersky и DrWeb. При попытке переустановить браузеры выяснилось, что теперь ещё стало невозможно именно скачать дистрибутивы FireFox и Chrome, хотя сами сайты открываются.

DrWeb ничего не обнаружил. Самостоятельно нашел файл jailjail_1[1].exe (первый раз окно вируса от якобы "Системы безопасности Windows" было закрыто, а во второй раз уже нажато ок), удалил руками. Принесенный с другого компьютера Kaspersky Virus Removal Tool нашел и удалил 3 вируса Troyan-Spy.Win32.Carberp .mij и .osr, 2 из которых были в System Volume Information, а один Troyan-Spy.Win32.Carberp.mij в JRE.

После этого сразу от греха подальше снес JRE и Firefox с кэшем, в котором был пойман вирус. Из остатков вируса мной сохранены висевшие в автозагрузке c7khi43no.exe и j4D91D9SWQw.exe, а также найденный в директории Windows c7khi43no.dat - видимо с данными, которые шпион собирал.

В настоящий момент проблема с доступом в интернет так и осталась нерешенной: нет доступов к сайтам антивирусов, нельзя скачать браузеры, Каspersky Security Scan не может соединиться с сервером, хотя DrWeb как ни в чем нибывало качает свои обновления. При этом Kaspersky VRE вирусов больше не находит.

Help!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 18.07.2012, 14:55

Уважаемый(ая) lxsin, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Никита Соловьев** · 18.07.2012, 15:32

Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\Alexey Sinitsa\Local Settings\Temporary Internet Files\Content.IE5\1XKM8KTG\jailjail_1[1].exe','');
 DeleteFile('C:\Documents and Settings\Alexey Sinitsa\Local Settings\Temporary Internet Files\Content.IE5\1XKM8KTG\jailjail_1[1].exe');
 DeleteFileMask('C:\Documents and Settings\Alexey Sinitsa\Local Settings\Temporary Internet Files\Content.IE5','*',true);
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dskchk');
 BC_ImportDeletedList;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,3,true);
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

Компьютер перезагрузится.

Пофиксите строки при помощи hijackthis:

Код:

R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE80CE55-E709-4BDC-AD07-69D67A7E4A49}: NameServer = 127.0.0.1

Файл quarantine.zip пришлите нам, используя ссылку "прислать запрошенный карантин" над первым сообщением в этой теме.

Повторите действия, указанные в правилах. Прикрепите новые отчеты AVZ/hijackthis.

**lxsin** · 18.07.2012, 18:21

Помогло, за что огромное спасибо!
Архив quarantine.zip, сгенерированный AVZ, не содержит в себе файлов. Присылать по ссылке "запрошенный карантин", наверное, не имеет смысла?
Новые отчеты AVZ/hijackthis прикреплены.