[решено] помогите, пожалуйста, избавиться от "carberp"

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

помогите, пожалуйста, избавиться от "carberp"

Уважаемые форумчане, недавно столкнулся с вирусом "carberp" на компе№1, а через некоторое время обнаружил его и на другом своём компе№2.
Т.к. к каждой проблеме подход индивидуальный, выкладываю логи с компа№2.
+подскажите, как поступить с логами с компа№1, выложить их в этой теме или оформить новую?!

Цитата:

Внимание !!! База поcледний раз обновлялась 17.10.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Обновите базы AVZ и повторите логи

+

сделайте лог
OSAM

+

Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:

Код:

tdsskiller.exe -silent -qmbr -qboot
Запустите файл fix.bat;
Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
Запустите файл TDSSKiller.exe;
Нажмите кнопку "Начать проверку";
В процессе проверки могут быть обнаружены объекты двух типов:
- вредоносные (точно было установлено, какой вредоносной программой поражен объект);
- подозрительные (тип вредоносного воздействия точно установить невозможно).
По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

Проделал все рекомендации.
результаты во вложениях и на quarantine<at>safezone.cc

Файлы и папку удалите вручную:

Код:

2012-04-05 14:16:01 ----A---- C:\plg.txt

2012-04-05 14:15:59 ----D---- C:\Documents and Settings\Admin\Application Data\0LtJDHdorbNBA4t

Пофиксите в HJT:

Код:

O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

Сделайте лог uVS из безопасного режима

1) удалил
2) пофиксил
3) лог в безопасном режиме прилагается

Пока страшного ничего не видно давайте проверимся еще так:

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

+

Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
Прикрепите файл к следующему сообщению.

дело в том, что "carberp" был однозначно, т.к. проверка Cureit'ом Dr.Web его выявила в 2 вариациях "carberp 30" и "carberp 340" (+ещё 2 мелких вируса) и появлялась папка с бесмысленным набором букв вназвании, как и в случае с компом№1, который до сих пор заражён и ожидает лечения.
Незамедлительно приступаю к выполнению текущих рекомендаций.

То что он был, я вижу, но сейчас только остатки подчищаем. И делаем так, чтобы в дальнейшем риск заражения снизить.

В архиве оба лога, Malwarebytes нашёл 6 объектов и есть возможность их удалить, в связи с чем его пока не стал закрывать, жду дальнейших рекомендаций.

Из найденного MBAM удалите:

Код:

C:\Documents and Settings\Admin\Application Data\wndsksi.inf (Malware.Trace) -> Действие не было предпринято.

C:\Documents and Settings\Admin\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.

C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

Java(TM) 6 Update 17 Java version out of date! обновите Java обязательно.

Как самочувствие системы?

Выполнил все Ваши рекомендации, файлы удалил, Java новую установил.
Лог выложил.
Система ведёт себя стабильно. Спасибо за квалифицированную помощь!
Теперь, вероятно, нужно почистить комп от использованных программ?
+ есть ещё один пациент "комп№1" с аналогичным заболеванием, могу ли я выложить вечером логи с него в данной теме или целесообразнее создать новую, а эту закрыть?

Цитата:

Цитата Cerberpnp

теме или целесообразнее создать новую, а эту закрыть? »

Новый комп новая тема.

Смените все пароли, если этого еще не сделали

Ознакомьтесь с этими рекомендациями