[решено] Вирус Win32/Carberp!dat

regist · Отправлено: **11:54, 07-04-2012** | #2

Здравствуйте!

Отключите антивирус/фаервол, интернет;

Выполните скрипт в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Admin.COMPUTER-D00FAF\Главное меню\Программы\Автозагрузка\zgEOG2ZSKeQ.exe','');
 DeleteFile('C:\Documents and Settings\Admin.COMPUTER-D00FAF\Главное меню\Программы\Автозагрузка\zgEOG2ZSKeQ.exe');
 QuarantineFileF('C:\Documents and Settings\Admin.COMPUTER-D00FAF\Application Data\MicroST','*', true,'',0 ,0);
 DeleteFileMask('C:\Documents and Settings\Admin.COMPUTER-D00FAF\Application Data\MicroST', '*', true);
 DeleteDirectory('C:\Documents and Settings\Admin.COMPUTER-D00FAF\Application Data\MicroST',' ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(6);
 ExecuteRepair(8);
 ExecuteRepair(10);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки AVZ отправьте с помощью этой формы, укажите ссылку на тему и ник на форуме.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

смените все пароли, по окончанию лечения смените ещё раз!

regist · Отправлено: **12:13, 07-04-2012** | #3

А также

Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
Код:
```
tdsskiller.exe -silent -qmbr -qboot
```
Запустите файл fix.bat;
Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
Запустите файл TDSSKiller.exe;
Нажмите кнопку "Начать проверку";
В процессе проверки могут быть обнаружены объекты двух типов:
- вредоносные (точно было установлено, какой вредоносной программой поражен объект);
- подозрительные (тип вредоносного воздействия точно установить невозможно).
По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

yokio3 · TDSSKiller.2.7.26.0_07.04.2012_12.21.24_log.txt

Спасибо вам за помощь. Сделал все что вы написали. Новые логи прикрепил.

regist · Отправлено: **12:50, 07-04-2012** | #5

Файл C:\TDSSKiller.2.7.26.0_07.04.2012_12.19.07_log.txt тоже прикрепите

yokio3 · TDSSKiller.2.7.26.0_07.04.2012_12.19.07_log.txt

Прикрепил

regist · Отправлено: **13:02, 07-04-2012** | #7

Отключите антивирус/фаервол, интернет;

Выполните скрипт в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Admin.COMPUTER-D00FAF\Application Data\prfbnsmt.ini','');
 QuarantineFileF('C:\Fk0FhZgssE2x3Ms','*', true,'',0 ,0);
 DeleteFileMask('C:\Fk0FhZgssE2x3Ms', '*', true);
 DeleteDirectory('C:\Fk0FhZgssE2x3Ms',' ');
 QuarantineFileF('C:\Documents and Settings\Admin.COMPUTER-D00FAF\Application Data\Fk0FhZgssE2x3Ms','*', true,'',0 ,0);
 DeleteFileMask('C:\Documents and Settings\Admin.COMPUTER-D00FAF\Application Data\Fk0FhZgssE2x3Ms', '*', true);
 DeleteDirectory('C:\Documents and Settings\Admin.COMPUTER-D00FAF\Application Data\Fk0FhZgssE2x3Ms',' ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки AVZ отправьте с помощью этой формы, укажите ссылку на тему и ник на форуме.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

что с проблемой?

также вижу вы запускали Malwarebytes' Anti-Malware приложите тогда заодно лог его полного сканирования.

и покажите содержимое файла C:\Documents and Settings\Admin.COMPUTER-D00FAF\Application Data\prfbnsmt.in

Цитата yokio3:

Прикрепил »

где ?

yokio3 · mbam-log-2012-04-07 (13-22-30).txt

Папка с абракадаброй исчезла, левый svhost тоже исчез

Содержимое prfbnsmt.in :

Код:

C:\

Прикрепил все что просили, вроде

regist · Отправлено: **13:44, 07-04-2012** | #9

Удалите найденное в MBAM.

Цитата yokio3:

Содержимое prfbnsmt.in »

простите, неправильно скопировал. Интересовало содержимое C:\Documents and Settings\Admin.COMPUTER-D00FAF\Application Data\prfbnsmt.ini

не забудьте сменить все пароли.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

+ Выполните Рекомендации после лечения.

yokio3 · Отправлено: **13:51, 07-04-2012** | #10

Цитата regist:

Интересовало содержимое C:\Documents and Settings\Admin.COMPUTER-D00FAF\Application Data\prfbnsmt.ini »

Ну я вам содержимое этого файла показал

не обратил внимания на расширение...

Выполнил скрипт в AVZ, обнаружено уязвимостей: 11
Буду устанавливать...

Все пароли поменял, спасибо вам огромное за оперативную помощь!