Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Помогите, TrojanDownloader:Win32/Carberp!dat (http://forum.oszone.net/showthread.php?t=225261)

allx 15-01-2012 01:41 1836067
Помогите, TrojanDownloader:Win32/Carberp!dat
 
Вложений: 2
Майкрософтовский антивирус выявил трояна: Win32/carberp!dat
Файл расположен: C:\qK0XvJAuw1f9RLo\klpclst.dat
Когда антивирус удаляет файл, он снова появляется через некоторое время, и я выяснил одну закономерность:
В диспетчере задач есть процесс: svchost.exe (расположен: C:\Windows\System32 , имеет размер 20.5 кб, запущен от имени пользователя ) - он иногда грузит процессор
на 50 % , ну и вот когда антивирус удалил klpclst.dat я решил завершить этот подозрительный процесс svchost.exe , и этот процесс снова запускается (только когда компьютер подключен к интернету) отправляя исходящий трафик в сеть
и через пару секунд файл klpclst.dat снова в папке(((.

S.R 15-01-2012 11:10 1836182
Сейчас посмотрю логи.

S.R 15-01-2012 11:27 1836192
Отключите:
Антивирус/Файерволл

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\securesxxx.exe','*.*',true,'',0,0);
 QuarantineFile('C:\WINDOWS\system32\svrhost.exe','');
 QuarantineFile('C:\Windows\cleaner.exe','');
 QuarantineFile('C:\Windows\System32\MarineAquarium3.scr','');
 QuarantineFile('C:\Windows\system32\regedit.exe','');
 QuarantineFile('C:\Users\Демчинко Александор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.exe','');
 QuarantineFileF('C:\Users\Демчинко Александор\AppData\Roaming\MicroST','*.*',true,'',0,0);
 DeleteFile('C:\WINDOWS\system32\svrhost.exe');
 DeleteFile('C:\Users\Демчинко Александор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.exe');
 DeleteFile('C:\Windows\system32\regedit.exe');
 DeleteFile('C:\Windows\cleaner.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\svrhost.exe');
 DeleteFileMask('C:\securesxxx.exe','*.*',true);
 DeleteFileMask('C:\Users\Демчинко Александор\AppData\Roaming\MicroST','*.*',true);
 DeleteDirectory('C:\securesxxx.exe');
 DeleteDirectory('C:\Users\Демчинко Александор\AppData\Roaming\MicroST');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Архив quarantine.zip из папки с AVZ отошлите через веб-форму.


Сделайте новые логи AVZ & RSIT

  • Скачайте Malwarebytes' Anti-Malware, установите, обновите базы
  • Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки
  • После сканирования должен открыться лог. Если этого не произошло, то нажмите ОК => Отчеты. Откройте лог, сохраните его и прикрепите к сообщению

allx 15-01-2012 16:24 1836377
Вложений: 3
Спасибо, помогло...
Только вот Архив quarantine.zip не появился....

S.R 15-01-2012 19:09 1836528
Цитата:
Цитата allx
Только вот Архив quarantine.zip не появился.... »
Да, конечно, это моя ошибка..

Отключите:
Антивирус/Файерволл

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetAVZGuardStatus(True);
 DeleteFileMask('C:\qK0XvJAuw1f9RLo','*.*',true);
 DeleteDirectory('C:\qK0XvJAuw1f9RLo');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится. Архив quarantine.zip из папки с AVZ отошлите через веб-форму.

Программа Spyware Process Detector Вам знакома? Если она Вам нужна, то не удаляйте её компоненты в MBAM.

Удалите в MBAM только данные элементы
Код:
Обнаруженные ключи в реестре:  3
HKCR\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (Adware.MyWebSearch) -> Действие не было предпринято.
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\russian_8_barhudarov.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.

Обнаруженные папки:  3
C:\Program Files\Spyware Process Detector (Rogue.SpywareProcessDetector) -> Действие не было предпринято.
C:\Program Files\Spyware Process Detector\Base (Rogue.SpywareProcessDetector) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar (Trojan.Agent) -> Действие не было предпринято.

Обнаруженные файлы:  44
C:\sound32.dll (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Local\Temp\sfx00000\nevosoft.newdrm.protection.crack.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Local\Temp\sfx00001\nevosoft.newdrm.protection.crack.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Local\Temp\sfx00002\nevosoft.newdrm.protection.crack.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Local\Temp\sfx00003\nevosoft.newdrm.protection.crack.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Local\Temp\sfx00004\nevosoft.newdrm.protection.crack.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Local\Temp\sfx00005\nevosoft.newdrm.protection.crack.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Local\Temp\sfx00006\nevosoft.newdrm.protection.crack.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Local\Temp\0.8538409572189932.exe (Exploit.Drop.2) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
C:\Program Files\Spyware Process Detector\spd321.dll (Rogue.SpywareProcessDetector) -> Действие не было предпринято.
C:\Program Files\Spyware Process Detector\Base\process.spd (Rogue.SpywareProcessDetector) -> Действие не было предпринято.
C:\Program Files\Spyware Process Detector\Base\safe.spd (Rogue.SpywareProcessDetector) -> Действие не было предпринято.
C:\Program Files\Spyware Process Detector\Base\startup.spd (Rogue.SpywareProcessDetector) -> Действие не было предпринято.
C:\Program Files\Spyware Process Detector\Base\system.spd (Rogue.SpywareProcessDetector) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\after.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\dot.gif (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\htmlayout.dll (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\key (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\logo.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\logo2.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\MyriadWebPro-Condensed.ttf (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\rules.css (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\s.htm (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\sb-scroll-back.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\sb-scroll-base.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\sb-scroll-slider.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\scroll.css (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\sview (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\xsendexe.tmp (Trojan.Agent) -> Действие не было предпринято.
Сделайте новые логи MBAM & RSIT


Время: 02:32.

Время: 02:32.
© OSzone.net 2001-