Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] TrojanDownloader:Win32/Carberp!dat (http://forum.oszone.net/showthread.php?t=236629)

Андрэй 14-06-2012 12:26 1934012
TrojanDownloader:Win32/Carberp!dat
 
Вложений: 2
Добрый день! У меня домашний компьютер на котором перестал запускаться браузер гугл хром, майкрософт секьюрити ловит троян TrojanDownloader:Win32/Carberp!dat и удаляет его, но он постоянно появляются вновь.
Помогите пожалуйста его удалить, пробовал несколько антивирусов но ничего не получилось.

Заранее спасибо!
Андрэй.

S.R 14-06-2012 12:55 1934035
Здравствуйте, посмотрю логи.

S.R 14-06-2012 13:22 1934059
Отключите
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\plg.txt','');
 QuarantineFileF('C:\Documents and Settings\Пользователь\Application Data\3cm8rzNZzUzWIvG', '*', true, '', 0, 0);
 QuarantineFileF('C:\3cm8rzNZzUzWIvG', '*', true, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\Пользователь\Application Data\0s5nKzItrnyQvRi', '*', true, '', 0, 0);
 QuarantineFileF('C:\0s5nKzItrnyQvRi', '*', true, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\Пользователь\Application Data\MicroST', '*', true, '', 0, 0);
 QuarantineFileF('C:\dmTez33zrEZ438e', '*', true, '', 0, 0);
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\S1GVzzNFjsnyHeul2IG.dll','');
 QuarantineFile('globalroot\systemroot\system32\userinit.exe','');
 QuarantineFile('C:\Documents and Settings\Пользователь\Local Settings\Temp\132B73A0-F839496A-45D6C9A0-5A456A7E\crs3jq9t.exe','');
 QuarantineFile('C:\Documents and Settings\Пользователь\Local Settings\Temp\132B73A0-F839496A-45D6C9A0-5A456A7E\0vkija33.exe','');
 QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\erwclxb.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\nhhznoqq.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\gvxrickd.sys','');
 DeleteFile('C:\plg.txt');
 DeleteFile('C:\WINDOWS\system32\drivers\gvxrickd.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\nhhznoqq.sys');
 DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\erwclxb.exe');
 DeleteFile('C:\Documents and Settings\Пользователь\Local Settings\Temp\132B73A0-F839496A-45D6C9A0-5A456A7E\0vkija33.exe');
 DeleteFile('C:\Documents and Settings\Пользователь\Local Settings\Temp\132B73A0-F839496A-45D6C9A0-5A456A7E\crs3jq9t.exe');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\S1GVzzNFjsnyHeul2IG.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FFSystem');
 DeleteService('nhhznoqq');
 DeleteService('gvxrickd');
 DeleteFileMask('C:\Documents and Settings\Пользователь\Application Data\3cm8rzNZzUzWIvG', '*', true);
 DeleteFileMask('C:\3cm8rzNZzUzWIvG', '*', true);
 DeleteFileMask('C:\Documents and Settings\Пользователь\Application Data\0s5nKzItrnyQvRi', '*', true);
 DeleteFileMask('C:\0s5nKzItrnyQvRi', '*', true);
 DeleteFileMask('C:\Documents and Settings\Пользователь\Application Data\MicroST', '*', true);
 DeleteFileMask('C:\dmTez33zrEZ438e', '*', true);
 DeleteDirectory('C:\Documents and Settings\Пользователь\Application Data\3cm8rzNZzUzWIvG');
 DeleteDirectory('C:\3cm8rzNZzUzWIvG');
 DeleteDirectory('C:\Documents and Settings\Пользователь\Application Data\0s5nKzItrnyQvRi');
 DeleteDirectory('C:\0s5nKzItrnyQvRi');
 DeleteDirectory('C:\Documents and Settings\Пользователь\Application Data\MicroST');
 DeleteDirectory('C:\dmTez33zrEZ438e');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(14);
RebootWindows(true);
end.
ПК перезагрузится. Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Архив quarantine.zip из папки с AVZ отправьте через веб-форму.
------------------------------------------------------------------------------------------
Если после перезагрузки после первого скрипта в AVZ у вас не появится интернет, выполните этот скрипт и далее остальные рекомендации.
Код:
begin
 ExecuteRepair(14);
RebootWindows(true);
end.
------------------------------------------------------------------------------------------
Обновите базы AVZ (Меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT +
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы.
Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки.
После сканирования откроется лог. Сохраните его и прикрепите к сообщению.
------------------------------------------------------------------------------------------
Скачайте SecurityCheck by screen317 по одной из этих ссылок на рабочий стол.Запустите программу, после появления консоли нажмите на любую клавишу для начала сканирования.
Дождитесь завершения сканирования и формирования лога. Скопируйте/вставьте содержимое лога утилиты в следующее сообщение.
------------------------------------------------------------------------------------------
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
    Код:
    tdsskiller.exe -silent -qmbr -qboot
  3. Запустите файл fix.bat;
  4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
  5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
  6. Запустите файл TDSSKiller.exe;
  7. Нажмите кнопку "Начать проверку";
  8. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  13. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
------------------------------------------------------------------------------------------
Смнените пароли от веб-сайтов!!!

Андрэй 14-06-2012 19:02 1934273
Вложений: 1
Высылаю новые логи.

Андрэй 14-06-2012 19:16 1934286
Очередной лог.

Results of screen317's Security Check version 0.99.41
x86
``````````````Antivirus/Firewall Check:``````````````
Windows Security Center service is not running! This report may not be accurate!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware, версия 1.61.0.1400
Wise Registry Cleaner 6.21
Adobe Flash Player 11.2.202.235
````````Process Check: objlist.exe by Laurent````````
EyeDefender EyeDefender.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C::
````````````````````End of Log``````````````````````

S.R 14-06-2012 19:52 1934312
Андрэй, В следующий пост прикрепите так же логи RSIT и TDSSKiller.

Повторите полное сканирование в MBAM и удалите только данные элементы
Код:
Обнаруженные ключи в реестре:  5
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\Raskrutka_Zarabotok_s_evizitor.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
HKCU\SOFTWARE\ADWare (Malware.Trace) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS (Rootkit.TmpHider) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET (Rootkit.TmpHider) -> Действие не было предпринято.

Обнаруженные папки:  1
C:\Documents and Settings\Пользователь\Application Data\FieryAds (Adware.FieryAds) -> Действие не было предпринято.

Обнаруженные файлы:  6
C:\Documents and Settings\Пользователь\Application Data\fieryads.dat (Adware.FieryAds) -> Действие не было предпринято.
C:\WINDOWS\inf\mdmcpq3.PNF (Rootkit.TmpHider) -> Действие не было предпринято.
C:\WINDOWS\inf\mdmeric3.PNF (Rootkit.TmpHider) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
Если вам интересно, по логу MBAM видно, что у вас Stuxnet. Драйвер этого вируса мог ещё остаться, поэтому обязательно сделайте лог TDSSKiller.

Андрэй 14-06-2012 19:54 1934315
К сожалению пункт
Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
выполнить не удаётся, видимо не хватает опыта. Вынужден его пропустить.

Андрэй 14-06-2012 20:29 1934330
Вложений: 4
Спасибо большое за оперативную помощь! Ничего подобного никогда не делал! Почему-то получилось 4 лога, отсылаю все.

S.R 14-06-2012 20:30 1934331
Андрэй, давайте поступим так:
- папку можете заархивировать и без пароля, благо роботы лабораторий пропускают и так. Известные архиваторы 7-zip и WinRAR.
- полученный архив залейте на файлообменник (http://ifolder.ru/) и пришлите ссылку мне в PM. А дальше уже я отправлю куда следует.

-----------------------------------------------------
up.

Обнаружилась и была вылечена "низкоуровневая" составляющая вируса, это видно по логам. Драйвер Stuxnet'а не обнаружен.

Не забудьте сделать лог RSIT.

Андрэй 15-06-2012 00:30 1934456
Вложений: 3
Пункт 5 по-прежнему не удаётся выполнить, прикрепляю файл здесь.
Высылаю также требуемые логи RSIT и TDSSKiller.
На сколько я понимаю компьютер вылечен, хотя я могу и ошибаться.
Спасибо огромное за помощь!

SolarSpark 15-06-2012 11:41 1934622
Карантин переправила, Андрэй, уберите архив из темы

S.R 15-06-2012 13:46 1934708
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask('C:\Documents and Settings\Пользователь\Application Data\l1kesKFjtYg', '*', true);
DeleteFileMask('C:\l1kesKFjtYg', '*', true);
DeleteDirectory('C:\Documents and Settings\Пользователь\Application Data\l1kesKFjtYg');
DeleteDirectory('C:\l1kesKFjtYg');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
------------------------------------------------------------------------------------------
Обновите базы AVZ (Меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT

Андрэй 16-06-2012 13:27 1935171
Добрый день!
Вынужден вновь обратиться к вам за помощью. После проведённых действий компьютер стал работать значительно быстрее, TrojanDownloader:Win32/Carberp!dat перестал появляться после каждой перезагрузки и подключении к интернету, но нашелся другой сбой: центр обеспечения безопасности виндовс постоянно предлагает установить 9 одних и тех же обновлений, в "точках восстановления" Software Distribution Service 3.0 устанавливалась 16.06 один раз, 15,06 восемь раз, 14.06 два раза. Быстрая проверка майкрософт секьюрити ничего не показала, полная опять нашла TrojanDownloader:Win32/Carberp!dat. Подскажите пожалуйста как с ним дальше бороться.

С уважением,
Андрэй.

S.R 16-06-2012 18:43 1935305
Сделайте новые логи AVZ (перед этим обновите базы) и RSIT.

Андрэй 17-06-2012 12:33 1935697
Вложений: 2
Добрый день!
Высылаю свежие логи. Помогите пожалуйста устранить потенциальную уязвимость "к ПК разрешен доступ анонимного пользователя".

С уважением,
Андрэй.

regist 17-06-2012 20:03 1935894
ProxyServer = 199.166.7.1:8123 сами прописывали ?

Андрэй 18-06-2012 09:33 1936129
Нет, этот комп раньше стоял на работе, видимо там администратор прописал.

S.R 18-06-2012 12:58 1936244
Отключите
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFileMask('C:\Documents and Settings\Пользователь\Application Data\l1kesKFjtYg', '*', true);
 DeleteFileMask('C:\l1kesKFjtYg', '*', true);
 DeleteDirectory('C:\Documents and Settings\Пользователь\Application Data\l1kesKFjtYg');
 DeleteDirectory('C:\l1kesKFjtYg');
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Обновите базы AVZ (Меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT
------------------------------------------------------------------------------------------
  • Установите Service Pack 3 (если не установлен) + все последующие обновления.
------------------------------------------------------------------------------------------
Сделайте лог OTL - Как подготовить лог OTL by OldTimer.

regist 18-06-2012 14:33 1936318
+ пофиксте в HiJackThis

Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 199.166.7.1:8123
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A202A2E-FAD4-490D-8DBF-92592923980F}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A17ABEC5-AE6D-4A84-B4EE-AFE3D00A5F53}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE7D38CA-FCA5-43BA-9A3D-FC7C387A825B}: NameServer = 127.0.0.1

Андрэй 18-06-2012 20:13 1936499
Вложений: 2
Скрипт выполнен, на перезагрузке комп завис, ждал минут 15 потом "резет".
Логи прилагаю.
Стоит "автоматическое обновление" Service Pack 3 установлен давно, тем не менее комп рекомендует установить обновления при каждой перезагрузке, хоть через пять минут, перечень обновлений один и тот же.
Программа OTL виснет на одном и том же месте.

Андрэй 18-06-2012 20:57 1936523
"Профиксте в HiJackThis" выполнил. Кроме R1, прокси сервер отключил сам утром.

S.R 19-06-2012 13:17 1936878
Ничего плохого не видно. Какие проблемы остались?

Андрэй 19-06-2012 17:20 1937049
Спасибо большое! Похоже TrojanDownloader:Win32/Carberp!dat действительно удалён. После лечения три раза делал полную проверку Microsoft Security Essentials, первый раз он нашел TrojanDownloader:Win32/Carberp!dat и удалил, два следующих ничего не нашел. Остался только вопрос по обновлению ХР: при включённом автоматическом обновлении ставятся одни и те же 9 обновлений, которые тут же предлагается установить снова. Видимо троян оттуда и устанавливался всё время и что-то там повредил. Пока отключил автообновление.
Ещё раз огромное спасибо за помошь!

alex_sev 19-06-2012 17:51 1937068
Номера обновлений укажите

Андрэй 20-06-2012 09:28 1937406
KB2686828
KB979909
KB982168
KB2656407
KB2656352
KB982524
KB2604092
KB2656369
KB2604110

alex_sev 20-06-2012 11:53 1937484
Пробуйте этот метод

И еще этот метод

Андрэй 20-06-2012 20:08 1937740
Действия выполнил, к сожалению положительного результата нет, хотя программа нашла и устранила ошибку в центре обновления.

SolarSpark 21-06-2012 12:30 1938100
Пробуйте твик реестра
Копируете код в файл с расширением reg, сохраняете его, запускаете, соглашаетесь с записью в реестр

Код:
Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
    "Type"=dword:00000020
    "Start"=dword:00000002
    "ErrorControl"=dword:00000001
    "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
    74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
    00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
    6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
    "DisplayName"="Автоматическое обновление WSUS /Сборка 2.0.0.2472/"
    "ObjectName"="LocalSystem"
    "Description"="Загрузка и установка обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Windows Update."
    "Group"=""
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
    "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
    00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
    77,00,75,00,61,00,75,00,73,00,65,00,72,00,76,00,2e,00,64,00,6c,00,6c,00,00,\
    00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security]
    "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
    00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
    00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
    05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
    20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
    00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
    00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum]
    "0"="Root\\LEGACY_WUAUSERV\\0000"
    "Count"=dword:00000001
    "NextInstance"=dword:00000001

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate]
    "AccountDomainSid"=hex:01,04,00,00,00,00,00,05,15,00,00,00,cd,7c,41,66,fe,26,\
    c6,48,07,e5,3b,00,2b
    "SusClientId"="cfea1a9c-1b20-4060-a8b5-a57bcdd1b2e3"
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
    "AUOptions"=dword:00000001
    "AUState"=dword:00000007
    "ResetAU"=dword:00000001
    "ConfigVer"=dword:00000001
    "ScheduledInstallDay"=dword:00000000
    "ScheduledInstallTime"=dword:0000000a
    "NextDetectionTime"=""
    "ScheduledInstallDate"=""
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting]
    "BatchFlushAge"=dword:00001283
    "SamplingValue2"=dword:00000240
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting\EventCache]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting\EventCache\3da21691-e39d-4da6-8a4b-b43877bcb1b7]
    "CurrentCacheFile"="%systemroot%\\SoftwareDistribution\\EventCache\\{066D8021-ADCD-4229-8789-A3261C8130D6}.bin"
    "FlushCacheFiles"=hex(7):00,00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Services]
    "DefaultService"="7971f918-a847-4430-9279-4a52d1efe18d"
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Services\7971f918-a847-4430-9279-4a52d1efe18d]
    "AuthorizationCab"="muauth.cab"


Время: 22:36.

Время: 22:36.
© OSzone.net 2001-