Поймала TrojanDownloader:Win32/Carberp!dat Хелп плиз!! - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Поймала TrojanDownloader:Win32/Carberp!dat Хелп плиз!! (http://forum.oszone.net/showthread.php?t=225539)

Поймала TrojanDownloader:Win32/Carberp!dat Хелп плиз!!

Вечер добрый!
Майкрософт обнаруживает TrojanDownloader:Win32/Carberp!dat делает вид, что лечит, но троян проявляется снова и снова.
Симптомы - постоянные крахи мозиллы.
Помогите, пожалуйста.
Логи прицепила.

Выполните скрипт в AVZ

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('C:\WINDOWS\system32\vaqessj.dll','');

 DeleteFile('C:\WINDOWS\system32\vaqessj.dll');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin

CreateQurantineArchive('c:\quarantine.zip');

end.

Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

Спасибо. Все сделала как вы написали.
Надо ли мне теперь удалить точки восстановления, которые сделала перед записью первых логов?

Все еще обнаруживается этот троян :"(

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::



File::

c:\documents and settings\OLGA\Start Menu\РспгсЬммбфб\ЕккЯнзуз\QTWwfvIHi2U.exe

c:\documents and settings\OLGA\Start Menu\Программы\Автозагрузка\QTWwfvIHi2U.exe



Driver::





NetSvc::





Folder::

C:\vztApC3LHVMg22f

C:\tIumgEZnhqshMKi





Registry::



FileLook::



DirLook::

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Продолжает появляться :( и крахи мозиллы регулярные (((

- Выполните в АВЗ:

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\QTWwfvIHi2U.exe',''); 

DeleteFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\QTWwfvIHi2U.exe');

DeleteFileMask('c:\documents and settings\OLGA\Application Data\MicroST','*',true);

DeleteFileMask('C:\vztApC3LHVMg22f','*',true);

DeleteDirectory('C:\vztApC3LHVMg22f');

DeleteDirectory('c:\documents and settings\OLGA\Application Data\MicroST');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

Файл quarantine.zip из папки AVZ загрузите через данную форму. Укажите ссылку на тему и ник на форуме.

- Повторите лог Combofix

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.

Код:

KillAll::



File::

c:\documents and settings\OLGA\Start Menu\РспгсЬммбфб\ЕккЯнзуз\QTWwfvIHi2U.exe

C:\Documents and Settings\OLGA\Start Menu\Προγράμματα\Εκκίνηση\QTWwfvIHi2U.exe



Driver::



Folder::

C:\vztApC3LHVMg22f

c:\documents and settings\OLGA\Application Data\MicroST



Registry::



FileLook::



DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Цитата:

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С. Код: KillAll:: File:: c:\documents and settings\OLGA\Start Menu\РспгсЬммбфб\ЕккЯнзуз\QTWwfvIHi2U.exe C:\Documents and Settings\OLGA\Start Menu\Προγράμματα\Εκκίνηση\QTWwfvIHi2U.exe Driver:: Folder:: C:\vztApC3LHVMg22f c:\documents and settings\OLGA\Application Data\MicroST Registry:: FileLook:: DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

сделала

Что с проблемой?

сделала

Цитата:

тоже сделала

Цитата:

Цитата Techno88

Что с проблемой? »

пока не появляется... Подожду еще немного и сообщу. Спасибо за помощь :)

Выполните, пожалуйста, рекомендации после лечения

Цитата:

Цитата Techno88

Выполните, пожалуйста, рекомендации после лечения »

а как удалить старые точки восстановления?

ой, нашла :)

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

все сделала. спасибо большое, ребята! похоже, вылечили :)