Поймал троян, сидит в C:\T9QTsaRucjI\klpclst.dat удалял cureit ом но после перезагрузки появлялся снова. Ещё в автозагрузке программа с абракадаброй в названии - раньше cureit определял как trojan.carberp после логов AVZ и RSIT программа осталась, но не определяется как троян. Загрузил логи log.txt и info.txt а почему то virusinfo_syscure.zip и virusinfo_syscheck.zip не загружаются... нажимаю прикрепить файл, загрузить, пишет "ошибка при загрузке"

Выложите на файлообменнике.

залил на яндекс народ архив (http://narod.ru/disk/57170276001.7167493520d79f34cfb40da0bef37e84/virusinfo.zip.html) в нём 2 архива virusinfo_syscure.zip и virusinfo_syscheck.zip

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFileF('C:\1Go4a9PTzdQR2YW', '*.*', false, '', 0, 0);
QuarantineFileF('C:\4VlJRUKP0ZcLBvE', '*.*', false, '', 0, 0);
QuarantineFile('C:\Documents and Settings\user1\Главное меню\Программы\Автозагрузка\vjEgy1QYDDk.exe','');
QuarantineFile('C:\Documents and Settings\user1\Application Data\E407D5.exe','');
QuarantineFile('C:\Documents and Settings\user1\Application Data\B437AD.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\dokan.sys','');
QuarantineFile('C:\Temp\i24hjvHl.sys','');
QuarantineFile('d:\documents and settings\Рабочий стол\kabauth.exe','');
DeleteFile('C:\Temp\i24hjvHl.sys');
DeleteFile('C:\Documents and Settings\user1\Application Data\B437AD.exe');
DeleteFile('C:\Documents and Settings\user1\Application Data\E407D5.exe');
DeleteFile('C:\Documents and Settings\user1\Главное меню\Программы\Автозагрузка\vjEgy1QYDDk.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run' ,'Sony Ericsson');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run' ,'Jetico');
DeleteFileMask('C:\Documents and Settings\user1\Application Data\30953BDA', '*.*', true);
DeleteDirectory('C:\Documents and Settings\user1\Application Data\30953BDA');
DeleteFileMask('C:\Documents and Settings\user1\Application Data\30953C68', '*.*', true);
DeleteDirectory('C:\Documents and Settings\user1\Application Data\30953C68');
DeleteFileMask('C:\4VlJRUKP0ZcLBvE', '*.*', true);
DeleteDirectory('C:\4VlJRUKP0ZcLBvE');
DeleteFileMask('C:\1Go4a9PTzdQR2YW', '*.*', true);
DeleteDirectory('C:\1Go4a9PTzdQR2YW');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\Temp\i24hjvHl.sys');
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.


Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)
Подробнее читайте в руководстве (http://safezone.cc/forum/showthread.php?t=16050)

Скрипты выполнил, письмо отправил на email, лог malwarebytes приложил. Я в шоке от лога. После перезагрузки файл не появляется, в автозагрузке тоже ничего нет. Кажись сработало =)

Удалите в МВАМ
Обнаруженные файлы:
C:\Documents and Settings\user1\Doctor Web\DrWeb CureIt Quarantine\05\F0510CD82DB5336D38A17FA3A357D9A30A97AF112F648D8C449BF84D02394E7A (Trojan.Downloader) -> Действие не было предпринято.
C:\Documents and Settings\user1\Doctor Web\DrWeb CureIt Quarantine\94\F943C66242B1D461433ECCECC704F77DDD86CABB909D77E30EF1BD0E46A5180B (Trojan.Downloader) -> Действие не было предпринято.
C:\Documents and Settings\user1\Doctor Web\DrWeb CureIt Quarantine\AB\FABDBC0C7C03BCECBFA4A7E63DDE19D0D12827844094CA99E0C7573E390A147C (Trojan.Downloader) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\avz00001.dta (Spyware.Passwords.XGen) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\avz00002.dta (Trojan.Downloader) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\avz00003.dta (Spyware.Zeus) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\bcqr00001.dat (Spyware.Passwords.XGen) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\bcqr00002.dat (Spyware.Passwords.XGen) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\bcqr00003.dat (Trojan.Downloader) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\bcqr00004.dat (Trojan.Downloader) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\bcqr00005.dat (Spyware.Zeus) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\bcqr00006.dat (Spyware.Zeus) -> Действие не было предпринято.
C:\Documents and Settings\user1\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\IEUNITDRF.INF (Malware.Trace) -> Действие не было предпринято.

Если не ваша сознательная установка Rubar-Toolbar, то и его тоже

Обнаруженные ключи в реестре: 6
HKCR\AppID\{6A44A601-E455-47D9-9712-0B79EEE39A9C} (PUP.Rubar) -> Действие не было предпринято.
HKCR\AppID\{9285AB27-8BD7-421A-9AA5-2523C00D4E4A} (PUP.Rubar) -> Действие не было предпринято.
HKCR\AppID\{D17B4854-A796-4173-9775-5FB684E40ADA} (PUP.Rubar) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} (PUP.Rubar) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{23DD83B5-BDDC-49CE-B77B-514819C6D551} (PUP.Rubar) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{23DD83B5-BDDC-49CE-B77B-514819C6D551} (PUP.Rubar) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform|RubarToolbar2714 (PUP.Rubar) -> Параметры: -> Действие не было предпринято.

Обнаруженные папки: 2
C:\Documents and Settings\LocalService\Application Data\Rubar-Toolbar (PUP.Rubar) -> Действие не было предпринято.
C:\Documents and Settings\user1\Application Data\Rubar-Toolbar (PUP.Rubar) -> Действие не было предпринято.
C:\Documents and Settings\LocalService\Application Data\Rubar-Toolbar\Service.log.log (PUP.Rubar) -> Действие не было предпринято.
C:\Documents and Settings\user1\Application Data\Rubar-Toolbar\Broker.log.log (PUP.Rubar) -> Действие не было предпринято.
C:\Documents and Settings\user1\Application Data\Rubar-Toolbar\MsiHelper.log.log (PUP.Rubar) -> Действие не было предпринято.
C:\Documents and Settings\user1\Application Data\Rubar-Toolbar\Toolbar.log (PUP.Rubar) -> Действие не было предпринято.


Затем повторите логи AVZ+RSIT

+ к вышесказанному:

Скачайте архив TDSSKiller.zip (http://support.kaspersky.ru/downloads/utils/tdsskiller.zip) и распакуйте его в отдельную папку; Запустите файл TDSSKiller.exe; Нажмите кнопку "Начать проверку"; В процессе проверки могут быть обнаружены объекты двух типов: вредоносные (точно было установлено, какой вредоносной программой поражен объект); подозрительные (тип вредоносного воздействия точно установить невозможно). По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

Загрузите SecurityCheck by screen317 отсюда (http://screen317.spywareinfoforum.org/SecurityCheck.exe) или отсюда (http://screen317.changelog.fr/SecurityCheck.exe) и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Когда увидите консоль, нажмите любую клавишу для продолжения сканирования Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt; Прикрепите файл к следующему сообщению.Подробнее читайте в руководстве (http://safezone.cc/forum/showthread.php?t=17023).

Логи AVZ и RSIT сделал, AVZ выложил тут (http://narod.ru/disk/57203688001.8a6b6fa0e4e72d042a108877a785c60f/virusinfo2.zip.html)
TDSSkiller логи прикрепил, нашёл подозрительный sptd.sys, решил его удалить так как в AVZ было написано что он перехватывает какие-то функции.
SecurityCheck логи прикрепил.



И у меня вопрос, в АВЗ в протоколе было это:

\FileSystem\ntfs[IRP_MJ_CREATE] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 86DD41E8 -> перехватчик не определен

Что это значит?

Кстати malwarebytes пишет о попытках доступа к вредоносным сайтам.

Итак по порядку:

1. Немного самоуправства с Вашей стороны и Вы удалили драйвер sptd от которого и были перехваты в логе AVZ. Теперь если будут проблемы с программами записи диска или эмуляторами дисководов вроде Daemon Tools придется скачать этот драйвер и заново установить, вот ссылка:

http://www.disc-tools.com/download/sptd

2. Файл C:\WINDOWS\system32\Access.dat проверьте на Virustotal ссылку на результат в следующее сообщение.

3. Папки:

2012-07-20 09:54:35 ----D---- C:\Documents and Settings\All Users\Application Data\IBank
2012-07-20 09:54:33 ----D---- C:\Documents and Settings\user1\Application Data\T9QTsaRucjI

удалите вручную.

4. Проверьте содержимое папок:

2012-06-06 08:30:09 ----RD---- C:\Documents and Settings\user1\Application Data\30953C68
2012-04-23 14:36:38 ----RD---- C:\Documents and Settings\user1\Application Data\30953BDA

на Virus Total.

5. Где лог AVZ?

6. Java(TM) 6 Update 24 Java version out of Date!
Adobe Reader 9 Adobe Reader out of Date!
Mozilla Firefox 4.0 Firefox out of Date!

обновите до последних версий:

Java (http://www.java.com/ru/download/faq/remove_olderversions.xml)
Adobe Reader (http://get.adobe.com/reader/otherversions/)
Mozilla Firefox (http://mozilla-russia.org/products/firefox/)

7. Смените ВСЕ важные пароли (почта, контакт, банковские службы)

Кстати malwarebytes пишет о попытках доступа к вредоносным сайтам. »
Он так всегда пишет)) У него полинтернета вредоносные сайты. Как перестанет быть нужным деинсталлируем

1. Знал на что шёл, удалил daemon tools

2. Результат?:

SHA256: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709
MD5: d41d8cd98f00b204e9800998ecf8427e
File size: 0 байт(а) ( 0 bytes )
File name: Access.dat
File type: unknown
Detection ratio: 0 / 42
Analysis date: 2012-07-20 16:49:17 UTC ( 0 минут ago )

3. Сделал
4. Они пустые
5. Тут в архиве два архива которые надо http://narod.ru/disk/57203688001.8a6b6fa0e4e72d042a108877a785c60f/virusinfo2.zip.html
6. Готово
7. Сделал

Как самочувствие системы?

Большой разницы не почувствовал. Вроде как было так и осталось. И с вирусом система вела себя нормально, просто я нашёл подозрительную папку, проверил, а там оно.

Ну я имел ввиду именно самочувствие по вредоносу)))

MBAM можете деинсталлировать.

В логах видны остатки трех антивирусов: Dr Web, Avast, NOD32 и ни одного рабочего.
Почистите остатки как описано на этой странице: http://safezone.cc/forum/showthread.php?t=58

Установите антивирус.

Ознакомьтесь с этими рекомендациями (http://forum.oszone.net/post-1838507-9.html)

Описание Вашего трояна на английском языке (http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fCarberp) (для информации)

Спасибо, трояна нет. А обязательно убирать остатки антивирусов?

Новый может не встать из-за конфликта с неудаленными драйверами.

Ну спасибо, хорошо, проблема решена, можно закрывать тему.