Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] поймал Trojan.Carberp.30 klpclst.dat (http://forum.oszone.net/showthread.php?t=233026)

Neff123 17-04-2012 23:19 1901551
поймал Trojan.Carberp.30 klpclst.dat
 
После захода на сайт через хром попросил обновится ява или флеш точно не помню - после этого комп перегрузился. После этого хром ничего кроме пустых окон не открывает. Работает только с ключем --no-sandbox.
Касперским поискал он ничего не нашел. CureItом и dr.web нашелся сабж. После каждой перезагрузке рапортует о том что он его удалил с корня диска с. Как его удалить и заставить работать хром в штатном режиме а не через ключ - я так понимаю что это следствие этого трояна. Подскажите плиз.

iskander-k 17-04-2012 23:58 1901570
Выложите логи в соответствии с этими инструкциями.

Neff123 18-04-2012 19:26 1902043
Вложений: 2
Сорри, вот логи.

iskander-k 18-04-2012 20:26 1902077
Обновление произошло после попытки просмотра видео ?

Попытайтесь удалить Флэш-плеер.

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Neff\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\yYRw3mP2DZ8.exe','');
 QuarantineFile('C:\plg.txt','');
 DeleteFile('C:\plg.txt');
 DeleteFile('C:\Users\Neff\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\yYRw3mP2DZ8.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму


1. Обновите базы АВЗ и переделайте логи.

2.Сделайте еще лог Universal Virus Sniffer (UVS)

Скачайте Universal Virus Sniffer (UVS)

Как подготовить лог UVS

Извлеките UVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.


___________________
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".


3.
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Neff123 18-04-2012 22:04 1902136
Вложений: 1
Цитата:
Цитата iskander-k
Обновление произошло после попытки просмотра видео ? »
Нет не после просмотра видео а скорее после запуска флеш-игрульки

Цитата:
Цитата iskander-k
Попытайтесь удалить Флэш-плеер. »
Удалил.

Цитата:
Цитата iskander-k
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму »
Отправил.
Цитата:
Цитата iskander-k
1. Обновите базы АВЗ и переделайте логи. »
Логи переделал.

Цитата:
Цитата iskander-k
2.Сделайте еще лог Universal Virus Sniffer (UVS) »
Сделал.
Цитата:
Цитата iskander-k
Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. »
Malwarebytes Anti-Malware (Пробная версия) 1.61.0.1400
Код:
www.malwarebytes.org

Версия базы данных:  v2012.04.18.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 9.0.8112.16421
Neff :: PROBOOK [администратор]

Защитный модуль : Включен

18.04.2012 21:10:52
mbam-log-2012-04-18 (21-40-38).txt

Тип сканирования:  Полное сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты:  343138
Времени прошло:  28 минут , 17 секунд

Обнаруженные процессы в памяти:  0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти:  0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре:  0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре:  0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены:  8
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{141863CF-0462-4087-93FE-3A7D8EDF4795}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{3F22F183-A2AE-42D5-A2AB-942D0E95748A}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{61061F30-C7E9-4C9A-A46B-2AF95577B004}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{72611217-BDE7-4416-87CA-DBAAF2A18F09}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{74ACA593-BFD9-4C9A-A7EB-D4F32B670B69}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{B00F4CB8-218F-4A13-A9C4-2C512314514A}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{B5C51716-2E41-4E1E-913C-D6E1E5EF2A86}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{e29ac6c2-7037-11de-816d-806e6f6e6963}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.

Обнаруженные папки:  0
(Вредоносных программ не обнаружено)

Обнаруженные файлы:  2
C:\Users\Neff\AppData\Local\Temp\msuu0.exe (Trojan.Agent.PCLGen) -> Действие не было предпринято.
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

(конец)

iskander-k 18-04-2012 22:25 1902146
Удалите всё что нашел МБАМ.

Neff123 18-04-2012 22:27 1902148
я удалил - лог видимо не тот прислал - этот долг до удаления он выдал.

iskander-k 18-04-2012 22:42 1902157
Что с проблемой ?

Лог RSIT тоже повторите.

И вам нужно будет поменять все ваши пароли.

Пойманный вами зловред ворует пароли.

Neff123 18-04-2012 22:54 1902166
Вложений: 1
Dr.web перестал после перезагрузки находить троянца. Хром не работает по прежнему. Лог RSIT прилагаю.

iskander-k 18-04-2012 23:06 1902174
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\TEMP\w4oumK97.sys','');
 DeleteFile('C:\Windows\TEMP\w4oumK97.sys');
 DeleteFileMask('C:\Users\Neff\AppData\Roaming\kdVabhN80voa2t6', '*.*', true);
 DeleteDirectory('C:\Users\Neff\AppData\Roaming\kdVabhN80voa2t6');
 RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
 AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторить логи АВЗ и РСИТ.

Если хром не заработает - удалите его - через панель -скачайте заново и снова установите.

Радмин вы устанавливали ?

Neff123 18-04-2012 23:32 1902192
Вложений: 1
Авз сканирует еще. Рсит засылаю.
Хром не работает по прежнему - переставлял практически после каждого рекомендованного действия. Радмин ставил я.

iskander-k 18-04-2012 23:43 1902198
Другие браузеры как работают ? Если установлены

Защитное ПО случаем не блокирует хром ? - пробовали открыть хромом сайт с отключенным защитным ПО ?
Windows Defender включен ?


По логам вижу что вы вроде установили пробную версию МБАМ -удалите ,
активный монитор МБАМ может тоже блокировать.


Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Neff123 18-04-2012 23:52 1902203
Мбам поставил только сегодня а проблема началась до этого дня за 3. Остальные браузеры работают в штатном режиме (IE Ffox ). Хром с ключем --no-sandbox тоже работает - наверное дело не в фаирволах.

Neff123 19-04-2012 00:19 1902209
Вложений: 1
прилепил лог гмера в архиве как остальные логи

iskander-k 19-04-2012 00:30 1902215
Лог гмер присоедините как файл , как другие логи - без копирования и редактирования. Если нет мета залейте на файлообменник.

Neff123 19-04-2012 00:37 1902219
Цитата:
Цитата iskander-k
Если нет мета »
Не понял фразу. Перезалил в архиве в пред. посте

АВЗ находит Trojan.BAT.DelSys.ak

iskander-k 19-04-2012 01:02 1902233
Цитата:
Цитата Neff123
АВЗ находит Trojan.BAT.DelSys.ak »
Ложное срабатывание.
Можете проверить C:\Windows\Installer\4f1d5.msi на https://www.virustotal.com/ru/ если будет предложен выбор - выберите проверить снова - ссылку на проверку сюда .

Neff123 19-04-2012 01:06 1902235
Я его удалил от греха подалльше :)

Спасибо огромное за потраченное время и оказанную помощь. Почему не хочет работать хром - я не понимаю.

iskander-k 19-04-2012 13:56 1902467
по имеющейся инфо это какая-то проблема несовместимости хрома и встроенной защиты windows .
временное решение
нашлось в службе поддержки Google. Необходимо в свойствах ярлыка дописать параметр –no-sandbox, .
Щелкаем правой кнопкой мыши на ярлыке Google Chrome, выбираем «Свойства», в появившемся окошке переходим на вкладку «Ярлык» и в строке «Объект» после кавычки дописываем параметр "–no-sandbox" (перед — ставим пробел). пишем без кавычек. жмем применить и ОК.

Neff123 19-04-2012 14:52 1902530
Спасибо, это первое что я сделал. Странно, что ни гугл ни винда не выпускает обновление для решения этой проблем.


Время: 13:43.

Время: 13:43.
© OSzone.net 2001-