Junior Member
Вес репутации
42
Win32/TrojanDownloader.Carberp.AD [Trojan-Ransom.Win32.PornoAsset.bhph, Trojan-Spy.Win32.Carberp.lol
]
Здраствуйте.
Сталкиваюсь с проблемой, что с переносных носителей пропадают папки, но когда пишешь в поиск он их находит. И немного поддтупливает компьютер. Заглянул в логи нода и увидел там Оперативная память » explorer.exe(260) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна.
Вложения
Последний раз редактировалось Сема; 29.11.2012 в 17:05 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Сема , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Здравствуйте.
Выполните скрипт в AVZ (как выполнить) :
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\users\Семён\appdata\roaming\9a54.exe');
ClearQuarantine;
QuarantineFile('C:\Users\Семён\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.exe','');
QuarantineFile('C:\Users\Семён\AppData\Roaming\9A54.exe','');
DeleteFile('C:\Users\Семён\AppData\Roaming\9A54.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WINSXS32');
DeleteFile('C:\Users\Семён\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил ) и приложите в теме.
Сделайте логи RSIT:
http://virusinfo.info/showthread.php...292#post859292
и приложите.
Junior Member
Вес репутации
42
Вот сделал как просили извените, что так поздно отписался.
Вложения
Эти файлы удалите вручную (только аккуратно, не запустите случайно):
Код:
2012-11-23 19:01:51 ----A---- C:\Users\Семён\AppData\Roaming\C8.exe
2012-11-23 14:44:41 ----A---- C:\Users\Семён\AppData\Roaming\8F59.exe
2012-10-31 03:14:08 ----A---- C:\Users\Семён\AppData\Roaming\D067.exe
2012-10-31 02:03:41 ----A---- C:\Users\Семён\AppData\Roaming\4F44.exe
2012-10-31 01:06:55 ----A---- C:\Users\Семён\AppData\Roaming\5625.exe
2012-10-31 00:38:38 ----A---- C:\Users\Семён\AppData\Roaming\722C.exe
2012-10-30 23:40:09 ----A---- C:\Users\Семён\AppData\Roaming\E814.exe
2012-10-30 15:17:50 ----A---- C:\Users\Семён\AppData\Roaming\6A1.exe
2012-10-30 14:33:48 ----A---- C:\Users\Семён\AppData\Roaming\B2E4.exe
2012-10-30 14:02:02 ----A---- C:\Users\Семён\AppData\Roaming\9F24.exe
2012-10-30 13:41:03 ----A---- C:\Users\Семён\AppData\Roaming\6A0F.exe
2012-10-30 13:30:23 ----A---- C:\Users\Семён\AppData\Roaming\A672.exe
2012-10-30 00:07:51 ----A---- C:\Users\Семён\AppData\Roaming\CB99.exe
2012-10-30 00:02:24 ----A---- C:\Users\Семён\AppData\Roaming\D039.exe
2012-10-29 23:31:21 ----A---- C:\Users\Семён\AppData\Roaming\924F.exe
2012-10-29 22:54:34 ----A---- C:\Users\Семён\AppData\Roaming\E6F2.exe
2012-10-29 22:17:49 ----A---- C:\Users\Семён\AppData\Roaming\4102.exe
2012-10-29 21:41:08 ----A---- C:\Users\Семён\AppData\Roaming\AAAA.exe
2012-10-29 21:04:28 ----A---- C:\Users\Семён\AppData\Roaming\1A7B.exe
2012-10-29 20:27:48 ----A---- C:\Users\Семён\AppData\Roaming\87BC.exe
2012-10-29 19:51:08 ----A---- C:\Users\Семён\AppData\Roaming\F5A9.exe
2012-10-29 19:14:39 ----A---- C:\Users\Семён\AppData\Roaming\8E5D.exe
2012-10-29 18:37:49 ----A---- C:\Users\Семён\AppData\Roaming\D6B1.exe
2012-10-29 18:01:13 ----A---- C:\Users\Семён\AppData\Roaming\53DA.exe
2012-10-29 17:24:37 ----A---- C:\Users\Семён\AppData\Roaming\D1AE.exe
2012-10-29 16:47:54 ----A---- C:\Users\Семён\AppData\Roaming\3465.exe
2012-10-29 16:11:12 ----A---- C:\Users\Семён\AppData\Roaming\9C0B.exe
2012-10-29 13:22:26 ----A---- C:\Users\Семён\AppData\Roaming\1922.exe
2012-10-29 13:22:16 ----A---- C:\Users\Семён\AppData\Roaming\F194.exe
2012-10-29 11:54:43 ----A---- C:\Users\Семён\AppData\Roaming\A49E.exe
2012-10-29 11:54:37 ----A---- C:\Users\Семён\AppData\Roaming\8D56.exe
2012-10-28 23:02:48 ----A---- C:\Users\Семён\AppData\Roaming\25E7.exe
2012-10-28 22:26:11 ----A---- C:\Users\Семён\AppData\Roaming\A14C.exe
2012-10-28 21:49:18 ----A---- C:\Users\Семён\AppData\Roaming\DAE0.exe
2012-10-28 21:12:38 ----A---- C:\Users\Семён\AppData\Roaming\48AE.exe
2012-10-28 20:36:11 ----A---- C:\Users\Семён\AppData\Roaming\EAC4.exe
2012-10-28 19:52:16 ----A---- C:\Users\Семён\AppData\Roaming\B6C8.exe
2012-10-28 18:42:14 ----A---- C:\Users\Семён\AppData\Roaming\99E3.exe
2012-10-28 18:08:18 ----A---- C:\Users\Семён\AppData\Roaming\87E7.exe
2012-10-28 17:23:16 ----A---- C:\Users\Семён\AppData\Roaming\4B82.exe
2012-10-28 16:40:25 ----A---- C:\Users\Семён\AppData\Roaming\F8A.exe
2012-10-28 16:01:52 ----A---- C:\Users\Семён\AppData\Roaming\C4F1.exe
2012-10-28 15:06:10 ----A---- C:\Users\Семён\AppData\Roaming\C8A7.exe
2012-10-28 14:19:49 ----A---- C:\Users\Семён\AppData\Roaming\5837.exe
2012-10-28 11:33:59 ----A---- C:\Users\Семён\AppData\Roaming\8635.exe
2012-10-28 01:49:18 ----A---- C:\Users\Семён\AppData\Roaming\BFDF.exe
2012-10-28 01:12:45 ----A---- C:\Users\Семён\AppData\Roaming\49F3.exe
2012-10-28 00:46:50 ----A---- C:\Users\Семён\AppData\Roaming\8F3B.exe
2012-10-28 00:46:44 ----A---- C:\Users\Семён\AppData\Roaming\77F3.exe
2012-10-28 00:36:06 ----A---- C:\Users\Семён\AppData\Roaming\D2E9.exe
2012-10-27 23:59:16 ----A---- C:\Users\Семён\AppData\Roaming\1B0D.exe
2012-10-27 23:22:36 ----A---- C:\Users\Семён\AppData\Roaming\8977.exe
2012-10-27 22:45:56 ----A---- C:\Users\Семён\AppData\Roaming\F68A.exe
2012-10-27 22:09:15 ----A---- C:\Users\Семён\AppData\Roaming\60A0.exe
2012-10-27 21:32:41 ----A---- C:\Users\Семён\AppData\Roaming\E68F.exe
2012-10-27 20:55:56 ----A---- C:\Users\Семён\AppData\Roaming\3F18.exe
2012-10-27 20:19:15 ----A---- C:\Users\Семён\AppData\Roaming\A9EA.exe
2012-10-27 19:42:45 ----A---- C:\Users\Семён\AppData\Roaming\3E98.exe
2012-10-27 19:06:01 ----A---- C:\Users\Семён\AppData\Roaming\9D39.exe
2012-10-27 18:29:24 ----A---- C:\Users\Семён\AppData\Roaming\1959.exe
2012-10-27 17:52:39 ----A---- C:\Users\Семён\AppData\Roaming\7433.exe
2012-10-27 17:12:16 ----A---- C:\Users\Семён\AppData\Roaming\7950.exe
2012-10-27 14:42:28 ----A---- C:\Users\Семён\AppData\Roaming\5410.exe
2012-10-27 14:22:14 ----A---- C:\Users\Семён\AppData\Roaming\D011.exe
2012-10-27 14:22:07 ----A---- C:\Users\Семён\AppData\Roaming\B55F.exe
2012-10-25 07:55:35 ----A---- C:\Users\Семён\AppData\Roaming\4A5E.exe
2012-10-25 00:19:46 ----A---- C:\Users\Семён\AppData\Roaming\1FC7.exe
2012-10-24 23:19:40 ----A---- C:\Users\Семён\AppData\Roaming\1846.exe
2012-10-24 22:19:26 ----A---- C:\Users\Семён\AppData\Roaming\F559.exe
2012-10-24 21:19:38 ----A---- C:\Users\Семён\AppData\Roaming\360E.exe
2012-10-24 20:37:59 ----A---- C:\Users\Семён\AppData\Roaming\1285.exe
2012-10-24 20:13:32 ----A---- C:\Users\Семён\AppData\Roaming\B1AF.exe
2012-10-24 18:39:10 ----A---- C:\Users\Семён\AppData\Roaming\4BC9.exe
2012-10-24 17:00:16 ----A---- C:\Users\Семён\AppData\Roaming\BF7F.exe
2012-10-24 16:59:57 ----A---- C:\Users\Семён\AppData\Roaming\74D7.exe
2012-10-24 08:18:44 ----A---- C:\Users\Семён\AppData\Roaming\9686.exe
2012-10-24 08:18:25 ----A---- C:\Users\Семён\AppData\Roaming\4DF0.exe
2012-10-23 12:10:10 ----A---- C:\Users\Семён\AppData\Roaming\ED24.exe
2012-10-23 12:10:02 ----A---- C:\Users\Семён\AppData\Roaming\CBAE.exe
2012-10-23 01:39:27 ----A---- C:\Users\Семён\AppData\Roaming\772B.exe
2012-10-23 00:25:41 ----A---- C:\Users\Семён\AppData\Roaming\EE3B.exe
2012-10-23 00:25:23 ----A---- C:\Users\Семён\AppData\Roaming\A836.exe
2012-10-22 01:38:59 ----A---- C:\Users\Семён\AppData\Roaming\711D.exe
2012-10-21 15:47:29 ----A---- C:\Users\Семён\AppData\Roaming\E749.exe
2012-10-21 15:47:13 ----A---- C:\Users\Семён\AppData\Roaming\A874.exe
2012-10-20 01:46:37 ----A---- C:\Users\Семён\AppData\Roaming\4085.exe
2012-10-19 17:29:02 ----A---- C:\Users\Семён\AppData\Roaming\B5D3.exe
2012-10-19 17:17:27 ----A---- C:\Users\Семён\AppData\Roaming\12DF.exe
2012-10-19 17:15:15 ----A---- C:\Users\Семён\AppData\Roaming\15AC.exe
2012-10-19 16:30:52 ----A---- C:\Users\Семён\AppData\Roaming\725A.exe
2012-10-19 16:08:39 ----A---- C:\Users\Семён\AppData\Roaming\1B73.exe
2012-10-19 16:08:23 ----A---- C:\Users\Семён\AppData\Roaming\DCAE.exe
2012-10-19 13:51:50 ----A---- C:\Users\Семён\AppData\Roaming\10F7.exe
2012-10-19 13:51:37 ----A---- C:\Users\Семён\AppData\Roaming\DD88.exe
2012-10-18 20:05:58 ----A---- C:\Users\Семён\AppData\Roaming\D12A.exe
2012-10-18 20:05:45 ----A---- C:\Users\Семён\AppData\Roaming\A1A1.exe
2012-10-18 19:38:57 ----A---- C:\Users\Семён\AppData\Roaming\4E0E.exe
2012-10-18 19:18:18 ----A---- C:\Users\Семён\AppData\Roaming\6361.exe
2012-10-18 19:17:17 ----A---- C:\Users\Семён\AppData\Roaming\74BE.exe
2012-10-18 19:17:05 ----A---- C:\Users\Семён\AppData\Roaming\45F0.exe
2012-10-18 18:59:46 ----A---- C:\Users\Семён\AppData\Roaming\6EA4.exe
2012-10-18 18:33:37 ----A---- C:\Users\Семён\AppData\Roaming\7AF1.exe
2012-10-18 18:11:06 ----A---- C:\Users\Семён\AppData\Roaming\DF7C.exe
2012-10-18 18:10:56 ----A---- C:\Users\Семён\AppData\Roaming\B8F8.exe
2012-10-18 09:15:40 ----A---- C:\Users\Семён\AppData\Roaming\4920.tmp
2012-10-18 00:18:33 ----A---- C:\Users\Семён\AppData\Roaming\3561.exe
2012-10-17 23:36:49 ----A---- C:\Users\Семён\AppData\Roaming\83C6.exe
2012-10-17 23:36:24 ----A---- C:\Users\Семён\AppData\Roaming\2570.tmp
2012-10-12 01:03:47 ----A---- C:\Users\Семён\AppData\Roaming\B318.exe
2012-10-12 00:40:47 ----A---- C:\Users\Семён\AppData\Roaming\A13C.exe
2012-10-12 00:18:35 ----A---- C:\Users\Семён\AppData\Roaming\4F35.exe
2012-10-11 23:54:46 ----A---- C:\Users\Семён\AppData\Roaming\81C7.exe
2012-10-11 23:31:56 ----A---- C:\Users\Семён\AppData\Roaming\9B8D.exe
2012-10-11 23:08:48 ----A---- C:\Users\Семён\AppData\Roaming\6ABC.exe
2012-10-11 22:46:08 ----A---- C:\Users\Семён\AppData\Roaming\AC1D.exe
2012-10-11 22:23:12 ----A---- C:\Users\Семён\AppData\Roaming\AD44.exe
2012-10-11 21:59:59 ----A---- C:\Users\Семён\AppData\Roaming\6912.exe
2012-10-11 21:37:11 ----A---- C:\Users\Семён\AppData\Roaming\8A28.exe
2012-10-11 21:13:46 ----A---- C:\Users\Семён\AppData\Roaming\1A06.exe
2012-10-11 20:51:25 ----A---- C:\Users\Семён\AppData\Roaming\A572.exe
2012-10-11 20:29:01 ----A---- C:\Users\Семён\AppData\Roaming\227C.exe
2012-10-11 20:05:39 ----A---- C:\Users\Семён\AppData\Roaming\BD52.exe
2012-10-11 19:42:24 ----A---- C:\Users\Семён\AppData\Roaming\7395.exe
2012-10-11 19:18:49 ----A---- C:\Users\Семён\AppData\Roaming\DD2E.exe
2012-10-11 18:55:45 ----A---- C:\Users\Семён\AppData\Roaming\C05A.exe
2012-10-11 18:36:58 ----A---- C:\Users\Семён\AppData\Roaming\8D38.exe
2012-10-11 18:36:51 ----A---- C:\Users\Семён\AppData\Roaming\711F.exe
2012-10-10 19:43:00 ----A---- C:\Users\Семён\AppData\Roaming\D57D.exe
2012-10-10 15:54:44 ----A---- C:\Users\Семён\AppData\Roaming\DDBA.exe
2012-10-10 15:32:03 ----A---- C:\Users\Семён\AppData\Roaming\19EE.exe
2012-10-10 14:39:57 ----A---- C:\Users\Семён\AppData\Roaming\65AB.exe
2012-10-10 11:01:05 ----A---- C:\Users\Семён\AppData\Roaming\5856.exe
2012-10-10 10:42:12 ----A---- C:\Users\Семён\AppData\Roaming\108C.exe
2012-10-09 21:39:51 ----A---- C:\Users\Семён\AppData\Roaming\76DA.exe
2012-10-09 21:23:40 ----A---- C:\Users\Семён\AppData\Roaming\7AD5.exe
2012-10-09 21:00:40 ----A---- C:\Users\Семён\AppData\Roaming\6A6F.exe
2012-10-09 20:37:40 ----A---- C:\Users\Семён\AppData\Roaming\5BAF.exe
2012-10-09 20:14:40 ----A---- C:\Users\Семён\AppData\Roaming\4E74.exe
2012-10-09 20:05:42 ----A---- C:\Users\Семён\AppData\Roaming\178B.exe
2012-10-09 19:53:07 ----A---- C:\Users\Семён\AppData\Roaming\B574.exe
2012-10-09 19:40:50 ----A---- C:\Users\Семён\AppData\Roaming\7393.exe
Установите SP1 для Windows 7.
Установите все обновления безопасности, вышедшие после SP1.
Выполните скрипт в AVZ отсюда (скопируйте там весь текст):
http://dataforce.ru/~kad/ScanVuln.txt
Если будут найдены уязвимости, в папке AVZ\LOG появится файл avz_log.txt. Приложите его в теме.
Затем откройте его в блокноте, пройдите по всем ссылкам и установите указанные там обновления.
Перезагрузите компьютер, выполните еще раз этот скрипт и убедитесь, что обновления установились.
Рекомендую сменить все пароли.
Что с проблемой?
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 6 В ходе лечения обнаружены вредоносные программы:
c:\\users\\семён\\appdata\\roaming\\microsoft\\win dows\\start menu\\programs\\startup\\.exe - Trojan-Spy.Win32.Carberp.lol ( BitDefender: Gen:Variant.Kazy.11219, AVAST4: Win32:MalOb-HX [Cryp] ) c:\\users\\семён\\appdata\\roaming\\9a54.exe - Trojan-Ransom.Win32.PornoAsset.bhph ( DrWEB: Trojan.Winlock.7431, BitDefender: Gen:Variant.Symmi.6604 )
Рекомендации:
Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !