Поймала TrojanDownloader:Win32/Carberp!dat Хелп плиз!!

thyrex · Конфигурация компьютера

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\vaqessj.dll','');
 DeleteFile('C:\WINDOWS\system32\vaqessj.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

olgak · Отправлено: **09:43, 18-01-2012** | #3

Спасибо. Все сделала как вы написали.
Надо ли мне теперь удалить точки восстановления, которые сделала перед записью первых логов?

olgak · Отправлено: **10:01, 18-01-2012** | #4

Все еще обнаруживается этот троян :"(

Techno88 · Отправлено: **10:19, 18-01-2012** | #5

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\documents and settings\OLGA\Start Menu\РспгсЬммбфб\ЕккЯнзуз\QTWwfvIHi2U.exe
c:\documents and settings\OLGA\Start Menu\Программы\Автозагрузка\QTWwfvIHi2U.exe

Driver::


NetSvc::


Folder::
C:\vztApC3LHVMg22f
C:\tIumgEZnhqshMKi


Registry::

FileLook::

DirLook::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

olgak · Отправлено: **12:37, 18-01-2012** | #6

Сделала

olgak · Отправлено: **13:05, 18-01-2012** | #7

Продолжает появляться

и крахи мозиллы регулярные (((

Techno88 · Отправлено: **13:15, 18-01-2012** | #8

- Выполните в АВЗ:

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\QTWwfvIHi2U.exe',''); 
DeleteFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\QTWwfvIHi2U.exe');
DeleteFileMask('c:\documents and settings\OLGA\Application Data\MicroST','*',true);
DeleteFileMask('C:\vztApC3LHVMg22f','*',true);
DeleteDirectory('C:\vztApC3LHVMg22f');
DeleteDirectory('c:\documents and settings\OLGA\Application Data\MicroST');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите через данную форму. Укажите ссылку на тему и ник на форуме.

- Повторите лог Combofix

thyrex · Конфигурация компьютера

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.

Код:

KillAll::

File::
c:\documents and settings\OLGA\Start Menu\РспгсЬммбфб\ЕккЯнзуз\QTWwfvIHi2U.exe
C:\Documents and Settings\OLGA\Start Menu\Προγράμματα\Εκκίνηση\QTWwfvIHi2U.exe

Driver::

Folder::
C:\vztApC3LHVMg22f
c:\documents and settings\OLGA\Application Data\MicroST

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

olgak · Отправлено: **14:06, 18-01-2012** | #10

Цитата:

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С. Код: KillAll:: File:: c:\documents and settings\OLGA\Start Menu\РспгсЬммбфб\ЕккЯнзуз\QTWwfvIHi2U.exe C:\Documents and Settings\OLGA\Start Menu\Προγράμματα\Εκκίνηση\QTWwfvIHi2U.exe Driver:: Folder:: C:\vztApC3LHVMg22f c:\documents and settings\OLGA\Application Data\MicroST Registry:: FileLook:: DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

сделала