Добрый день! У меня домашний компьютер на котором перестал запускаться браузер гугл хром, майкрософт секьюрити ловит троян TrojanDownloader:Win32/Carberp!dat и удаляет его, но он постоянно появляются вновь.
Помогите пожалуйста его удалить, пробовал несколько антивирусов но ничего не получилось.

Заранее спасибо!
Андрэй.

Здравствуйте, посмотрю логи.

Отключите
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\plg.txt','');
QuarantineFileF('C:\Documents and Settings\Пользователь\Application Data\3cm8rzNZzUzWIvG', '*', true, '', 0, 0);
QuarantineFileF('C:\3cm8rzNZzUzWIvG', '*', true, '', 0, 0);
QuarantineFileF('C:\Documents and Settings\Пользователь\Application Data\0s5nKzItrnyQvRi', '*', true, '', 0, 0);
QuarantineFileF('C:\0s5nKzItrnyQvRi', '*', true, '', 0, 0);
QuarantineFileF('C:\Documents and Settings\Пользователь\Application Data\MicroST', '*', true, '', 0, 0);
QuarantineFileF('C:\dmTez33zrEZ438e', '*', true, '', 0, 0);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\S1GVzzNFjsnyHeul2IG.dll','');
QuarantineFile('globalroot\systemroot\system32\userinit.exe','');
QuarantineFile('C:\Documents and Settings\Пользователь\Local Settings\Temp\132B73A0-F839496A-45D6C9A0-5A456A7E\crs3jq9t.exe','');
QuarantineFile('C:\Documents and Settings\Пользователь\Local Settings\Temp\132B73A0-F839496A-45D6C9A0-5A456A7E\0vkija33.exe','');
QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\erwclxb.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\nhhznoqq.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\gvxrickd.sys','');
DeleteFile('C:\plg.txt');
DeleteFile('C:\WINDOWS\system32\drivers\gvxrickd.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nhhznoqq.sys');
DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\erwclxb.exe');
DeleteFile('C:\Documents and Settings\Пользователь\Local Settings\Temp\132B73A0-F839496A-45D6C9A0-5A456A7E\0vkija33.exe');
DeleteFile('C:\Documents and Settings\Пользователь\Local Settings\Temp\132B73A0-F839496A-45D6C9A0-5A456A7E\crs3jq9t.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\S1GVzzNFjsnyHeul2IG.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FFSystem');
DeleteService('nhhznoqq');
DeleteService('gvxrickd');
DeleteFileMask('C:\Documents and Settings\Пользователь\Application Data\3cm8rzNZzUzWIvG', '*', true);
DeleteFileMask('C:\3cm8rzNZzUzWIvG', '*', true);
DeleteFileMask('C:\Documents and Settings\Пользователь\Application Data\0s5nKzItrnyQvRi', '*', true);
DeleteFileMask('C:\0s5nKzItrnyQvRi', '*', true);
DeleteFileMask('C:\Documents and Settings\Пользователь\Application Data\MicroST', '*', true);
DeleteFileMask('C:\dmTez33zrEZ438e', '*', true);
DeleteDirectory('C:\Documents and Settings\Пользователь\Application Data\3cm8rzNZzUzWIvG');
DeleteDirectory('C:\3cm8rzNZzUzWIvG');
DeleteDirectory('C:\Documents and Settings\Пользователь\Application Data\0s5nKzItrnyQvRi');
DeleteDirectory('C:\0s5nKzItrnyQvRi');
DeleteDirectory('C:\Documents and Settings\Пользователь\Application Data\MicroST');
DeleteDirectory('C:\dmTez33zrEZ438e');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Архив quarantine.zip из папки с AVZ отправьте через веб-форму (http://www.oszone.net/virusnet).
------------------------------------------------------------------------------------------
Если после перезагрузки после первого скрипта в AVZ у вас не появится интернет, выполните этот скрипт и далее остальные рекомендации.
begin
ExecuteRepair(14);
RebootWindows(true);
end.
------------------------------------------------------------------------------------------
Обновите базы AVZ (Меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT +
Скачайте Malwarebytes' Anti-Malware (http://www.malwarebytes.org/mbam-download-exe-random.php), установите, обновите базы.
Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки.
После сканирования откроется лог. Сохраните его и прикрепите к сообщению.
------------------------------------------------------------------------------------------
Скачайте SecurityCheck by screen317 по одной из этих ссылок на рабочий стол.
SecurityCheck.exe (http://screen317.spywareinfoforum.org/SecurityCheck.exe)
SecurityCheck.exe (http://screen317.changelog.fr/SecurityCheck.exe)
Запустите программу, после появления консоли нажмите на любую клавишу для начала сканирования.
Дождитесь завершения сканирования и формирования лога. Скопируйте/вставьте содержимое лога утилиты в следующее сообщение.
------------------------------------------------------------------------------------------
Скачайте архив TDSSKiller.zip (http://support.kaspersky.ru/downloads/utils/tdsskiller.zip) и распакуйте его в отдельную папку; Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:tdsskiller.exe -silent -qmbr -qboot Запустите файл fix.bat; Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine; Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь. Запустите файл TDSSKiller.exe; Нажмите кнопку "Начать проверку"; В процессе проверки могут быть обнаружены объекты двух типов: вредоносные (точно было установлено, какой вредоносной программой поражен объект); подозрительные (тип вредоносного воздействия точно установить невозможно). По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. Прикрепите лог утилиты к своему следующему сообщениюПо умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
------------------------------------------------------------------------------------------
Смнените пароли от веб-сайтов!!!

Высылаю новые логи.

Очередной лог.

Results of screen317's Security Check version 0.99.41
x86
``````````````Antivirus/Firewall Check:``````````````
Windows Security Center service is not running! This report may not be accurate!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware, версия 1.61.0.1400
Wise Registry Cleaner 6.21
Adobe Flash Player 11.2.202.235
````````Process Check: objlist.exe by Laurent````````
EyeDefender EyeDefender.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C::
````````````````````End of Log``````````````````````

Андрэй, В следующий пост прикрепите так же логи RSIT и TDSSKiller.

Повторите полное сканирование в MBAM и удалите только данные элементы

Обнаруженные ключи в реестре: 5
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\Raskrutka_Zarabotok_s_evizitor.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
HKCU\SOFTWARE\ADWare (Malware.Trace) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS (Rootkit.TmpHider) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET (Rootkit.TmpHider) -> Действие не было предпринято.

Обнаруженные папки: 1
C:\Documents and Settings\Пользователь\Application Data\FieryAds (Adware.FieryAds) -> Действие не было предпринято.

Обнаруженные файлы: 6
C:\Documents and Settings\Пользователь\Application Data\fieryads.dat (Adware.FieryAds) -> Действие не было предпринято.
C:\WINDOWS\inf\mdmcpq3.PNF (Rootkit.TmpHider) -> Действие не было предпринято.
C:\WINDOWS\inf\mdmeric3.PNF (Rootkit.TmpHider) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.


Если вам интересно, по логу MBAM видно, что у вас Stuxnet. Драйвер этого вируса мог ещё остаться, поэтому обязательно сделайте лог TDSSKiller.

К сожалению пункт
Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
выполнить не удаётся, видимо не хватает опыта. Вынужден его пропустить.

Спасибо большое за оперативную помощь! Ничего подобного никогда не делал! Почему-то получилось 4 лога, отсылаю все.

Андрэй, давайте поступим так:
- папку можете заархивировать и без пароля, благо роботы лабораторий пропускают и так. Известные архиваторы 7-zip и WinRAR.
- полученный архив залейте на файлообменник (http://ifolder.ru/) и пришлите ссылку мне в PM. А дальше уже я отправлю куда следует.

-----------------------------------------------------
up.

Обнаружилась и была вылечена "низкоуровневая" составляющая вируса, это видно по логам. Драйвер Stuxnet'а не обнаружен.

Не забудьте сделать лог RSIT.

Пункт 5 по-прежнему не удаётся выполнить, прикрепляю файл здесь.
Высылаю также требуемые логи RSIT и TDSSKiller.
На сколько я понимаю компьютер вылечен, хотя я могу и ошибаться.
Спасибо огромное за помощь!

Карантин переправила, Андрэй, уберите архив из темы

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask('C:\Documents and Settings\Пользователь\Application Data\l1kesKFjtYg', '*', true);
DeleteFileMask('C:\l1kesKFjtYg', '*', true);
DeleteDirectory('C:\Documents and Settings\Пользователь\Application Data\l1kesKFjtYg');
DeleteDirectory('C:\l1kesKFjtYg');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.
------------------------------------------------------------------------------------------
Обновите базы AVZ (Меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT

Добрый день!
Вынужден вновь обратиться к вам за помощью. После проведённых действий компьютер стал работать значительно быстрее, TrojanDownloader:Win32/Carberp!dat перестал появляться после каждой перезагрузки и подключении к интернету, но нашелся другой сбой: центр обеспечения безопасности виндовс постоянно предлагает установить 9 одних и тех же обновлений, в "точках восстановления" Software Distribution Service 3.0 устанавливалась 16.06 один раз, 15,06 восемь раз, 14.06 два раза. Быстрая проверка майкрософт секьюрити ничего не показала, полная опять нашла TrojanDownloader:Win32/Carberp!dat. Подскажите пожалуйста как с ним дальше бороться.

С уважением,
Андрэй.

Сделайте новые логи AVZ (перед этим обновите базы) и RSIT.

Добрый день!
Высылаю свежие логи. Помогите пожалуйста устранить потенциальную уязвимость "к ПК разрешен доступ анонимного пользователя".

С уважением,
Андрэй.

ProxyServer = 199.166.7.1:8123 сами прописывали ?

Нет, этот комп раньше стоял на работе, видимо там администратор прописал.

Отключите
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask('C:\Documents and Settings\Пользователь\Application Data\l1kesKFjtYg', '*', true);
DeleteFileMask('C:\l1kesKFjtYg', '*', true);
DeleteDirectory('C:\Documents and Settings\Пользователь\Application Data\l1kesKFjtYg');
DeleteDirectory('C:\l1kesKFjtYg');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.
Обновите базы AVZ (Меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT
------------------------------------------------------------------------------------------
Установите Service Pack 3 (http://www.microsoft.com/downloads/details.aspx?FamilyID=2fcde6ce-b5fb-4488-8c50-fe22559d164e&displayLang=ru) (если не установлен) + все (http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru) последующие обновления.

------------------------------------------------------------------------------------------
Сделайте лог OTL - Как подготовить лог OTL by OldTimer. (http://safezone.cc/forum/showthread.php?t=12019)

+ пофиксте в HiJackThis (http://forum.oszone.net/post-1430293-2.html)

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 199.166.7.1:8123
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A202A2E-FAD4-490D-8DBF-92592923980F}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A17ABEC5-AE6D-4A84-B4EE-AFE3D00A5F53}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE7D38CA-FCA5-43BA-9A3D-FC7C387A825B}: NameServer = 127.0.0.1

Скрипт выполнен, на перезагрузке комп завис, ждал минут 15 потом "резет".
Логи прилагаю.
Стоит "автоматическое обновление" Service Pack 3 установлен давно, тем не менее комп рекомендует установить обновления при каждой перезагрузке, хоть через пять минут, перечень обновлений один и тот же.
Программа OTL виснет на одном и том же месте.