Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Trojan.Carberp.30 (http://forum.oszone.net/showthread.php?t=238975)

Jegin 20-07-2012 13:30 1955435
Trojan.Carberp.30
 
Вложений: 2
Поймал троян, сидит в C:\T9QTsaRucjI\klpclst.dat удалял cureit ом но после перезагрузки появлялся снова. Ещё в автозагрузке программа с абракадаброй в названии - раньше cureit определял как trojan.carberp после логов AVZ и RSIT программа осталась, но не определяется как троян. Загрузил логи log.txt и info.txt а почему то virusinfo_syscure.zip и virusinfo_syscheck.zip не загружаются... нажимаю прикрепить файл, загрузить, пишет "ошибка при загрузке"

alex_sev 20-07-2012 13:43 1955446
Выложите на файлообменнике.

Jegin 20-07-2012 15:35 1955528
залил на яндекс народ архив в нём 2 архива virusinfo_syscure.zip и virusinfo_syscheck.zip

alex_sev 20-07-2012 15:50 1955546
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\1Go4a9PTzdQR2YW', '*.*', false, '', 0, 0);
 QuarantineFileF('C:\4VlJRUKP0ZcLBvE', '*.*', false, '', 0, 0);
 QuarantineFile('C:\Documents and Settings\user1\Главное меню\Программы\Автозагрузка\vjEgy1QYDDk.exe','');
 QuarantineFile('C:\Documents and Settings\user1\Application Data\E407D5.exe','');
 QuarantineFile('C:\Documents and Settings\user1\Application Data\B437AD.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\dokan.sys','');
 QuarantineFile('C:\Temp\i24hjvHl.sys','');
 QuarantineFile('d:\documents and settings\Рабочий стол\kabauth.exe','');
 DeleteFile('C:\Temp\i24hjvHl.sys');
 DeleteFile('C:\Documents and Settings\user1\Application Data\B437AD.exe');
 DeleteFile('C:\Documents and Settings\user1\Application Data\E407D5.exe');
 DeleteFile('C:\Documents and Settings\user1\Главное меню\Программы\Автозагрузка\vjEgy1QYDDk.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Sony Ericsson');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Jetico');
 DeleteFileMask('C:\Documents and Settings\user1\Application Data\30953BDA', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\user1\Application Data\30953BDA');
 DeleteFileMask('C:\Documents and Settings\user1\Application Data\30953C68', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\user1\Application Data\30953C68');
 DeleteFileMask('C:\4VlJRUKP0ZcLBvE', '*.*', true);
 DeleteDirectory('C:\4VlJRUKP0ZcLBvE');
 DeleteFileMask('C:\1Go4a9PTzdQR2YW', '*.*', true);
 DeleteDirectory('C:\1Go4a9PTzdQR2YW');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\Temp\i24hjvHl.sys');
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

Jegin 20-07-2012 17:34 1955620
Вложений: 1
Скрипты выполнил, письмо отправил на email, лог malwarebytes приложил. Я в шоке от лога. После перезагрузки файл не появляется, в автозагрузке тоже ничего нет. Кажись сработало =)

SolarSpark 20-07-2012 18:32 1955655
Удалите в МВАМ
Код:
Обнаруженные файлы: 
C:\Documents and Settings\user1\Doctor Web\DrWeb CureIt Quarantine\05\F0510CD82DB5336D38A17FA3A357D9A30A97AF112F648D8C449BF84D02394E7A (Trojan.Downloader) -> Действие не было предпринято.
C:\Documents and Settings\user1\Doctor Web\DrWeb CureIt Quarantine\94\F943C66242B1D461433ECCECC704F77DDD86CABB909D77E30EF1BD0E46A5180B (Trojan.Downloader) -> Действие не было предпринято.
C:\Documents and Settings\user1\Doctor Web\DrWeb CureIt Quarantine\AB\FABDBC0C7C03BCECBFA4A7E63DDE19D0D12827844094CA99E0C7573E390A147C (Trojan.Downloader) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\avz00001.dta (Spyware.Passwords.XGen) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\avz00002.dta (Trojan.Downloader) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\avz00003.dta (Spyware.Zeus) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\bcqr00001.dat (Spyware.Passwords.XGen) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\bcqr00002.dat (Spyware.Passwords.XGen) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\bcqr00003.dat (Trojan.Downloader) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\bcqr00004.dat (Trojan.Downloader) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\bcqr00005.dat (Spyware.Zeus) -> Действие не было предпринято.
D:\Documents and Settings\Рабочий стол\avz4\Quarantine\2012-07-20\bcqr00006.dat (Spyware.Zeus) -> Действие не было предпринято.
C:\Documents and Settings\user1\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\IEUNITDRF.INF (Malware.Trace) -> Действие не было предпринято.
Если не ваша сознательная установка Rubar-Toolbar, то и его тоже

Код:
Обнаруженные ключи в реестре:  6
HKCR\AppID\{6A44A601-E455-47D9-9712-0B79EEE39A9C} (PUP.Rubar) -> Действие не было предпринято.
HKCR\AppID\{9285AB27-8BD7-421A-9AA5-2523C00D4E4A} (PUP.Rubar) -> Действие не было предпринято.
HKCR\AppID\{D17B4854-A796-4173-9775-5FB684E40ADA} (PUP.Rubar) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} (PUP.Rubar) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{23DD83B5-BDDC-49CE-B77B-514819C6D551} (PUP.Rubar) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{23DD83B5-BDDC-49CE-B77B-514819C6D551} (PUP.Rubar) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform|RubarToolbar2714 (PUP.Rubar) -> Параметры:  -> Действие не было предпринято.

Обнаруженные папки:  2
C:\Documents and Settings\LocalService\Application Data\Rubar-Toolbar (PUP.Rubar) -> Действие не было предпринято.
C:\Documents and Settings\user1\Application Data\Rubar-Toolbar (PUP.Rubar) -> Действие не было предпринято.
C:\Documents and Settings\LocalService\Application Data\Rubar-Toolbar\Service.log.log (PUP.Rubar) -> Действие не было предпринято.
C:\Documents and Settings\user1\Application Data\Rubar-Toolbar\Broker.log.log (PUP.Rubar) -> Действие не было предпринято.
C:\Documents and Settings\user1\Application Data\Rubar-Toolbar\MsiHelper.log.log (PUP.Rubar) -> Действие не было предпринято.
C:\Documents and Settings\user1\Application Data\Rubar-Toolbar\Toolbar.log (PUP.Rubar) -> Действие не было предпринято.
Затем повторите логи AVZ+RSIT

alex_sev 20-07-2012 19:47 1955711
+ к вышесказанному:
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe;
  3. Нажмите кнопку "Начать проверку";
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  9. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
  • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
  • Прикрепите файл к следующему сообщению.
Подробнее читайте в руководстве.

Jegin 20-07-2012 20:14 1955737
Вложений: 4
Логи AVZ и RSIT сделал, AVZ выложил тут
TDSSkiller логи прикрепил, нашёл подозрительный sptd.sys, решил его удалить так как в AVZ было написано что он перехватывает какие-то функции.
SecurityCheck логи прикрепил.



И у меня вопрос, в АВЗ в протоколе было это:

\FileSystem\ntfs[IRP_MJ_CREATE] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86DD41E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 86DD41E8 -> перехватчик не определен

Что это значит?

Jegin 20-07-2012 20:31 1955749
Кстати malwarebytes пишет о попытках доступа к вредоносным сайтам.

alex_sev 20-07-2012 20:32 1955750
Итак по порядку:

1. Немного самоуправства с Вашей стороны и Вы удалили драйвер sptd от которого и были перехваты в логе AVZ. Теперь если будут проблемы с программами записи диска или эмуляторами дисководов вроде Daemon Tools придется скачать этот драйвер и заново установить, вот ссылка:

http://www.disc-tools.com/download/sptd

2. Файл C:\WINDOWS\system32\Access.dat проверьте на Virustotal ссылку на результат в следующее сообщение.

3. Папки:

Код:
2012-07-20 09:54:35 ----D---- C:\Documents and Settings\All Users\Application Data\IBank
2012-07-20 09:54:33 ----D---- C:\Documents and Settings\user1\Application Data\T9QTsaRucjI
удалите вручную.

4. Проверьте содержимое папок:

Код:
2012-06-06 08:30:09 ----RD---- C:\Documents and Settings\user1\Application Data\30953C68
2012-04-23 14:36:38 ----RD---- C:\Documents and Settings\user1\Application Data\30953BDA
на Virus Total.

5. Где лог AVZ?

6.
Цитата:
Java(TM) 6 Update 24 Java version out of Date!
Adobe Reader 9 Adobe Reader out of Date!
Mozilla Firefox 4.0 Firefox out of Date!
обновите до последних версий:

Java
Adobe Reader
Mozilla Firefox

7. Смените ВСЕ важные пароли (почта, контакт, банковские службы)

Цитата:
Цитата Jegin
Кстати malwarebytes пишет о попытках доступа к вредоносным сайтам. »
Он так всегда пишет)) У него полинтернета вредоносные сайты. Как перестанет быть нужным деинсталлируем

Jegin 20-07-2012 21:07 1955781
1. Знал на что шёл, удалил daemon tools

2. Результат?:

SHA256: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709
MD5: d41d8cd98f00b204e9800998ecf8427e
File size: 0 байт(а) ( 0 bytes )
File name: Access.dat
File type: unknown
Detection ratio: 0 / 42
Analysis date: 2012-07-20 16:49:17 UTC ( 0 минут ago )

3. Сделал
4. Они пустые
5. Тут в архиве два архива которые надо http://narod.ru/disk/57203688001.8a6...info2.zip.html
6. Готово
7. Сделал

alex_sev 20-07-2012 21:16 1955791
Как самочувствие системы?

Jegin 20-07-2012 21:20 1955793
Большой разницы не почувствовал. Вроде как было так и осталось. И с вирусом система вела себя нормально, просто я нашёл подозрительную папку, проверил, а там оно.

alex_sev 20-07-2012 21:29 1955802
Ну я имел ввиду именно самочувствие по вредоносу)))

MBAM можете деинсталлировать.

В логах видны остатки трех антивирусов: Dr Web, Avast, NOD32 и ни одного рабочего.
Почистите остатки как описано на этой странице: http://safezone.cc/forum/showthread.php?t=58

Установите антивирус.

Ознакомьтесь с этими рекомендациями

Описание Вашего трояна на английском языке (для информации)

Jegin 20-07-2012 21:39 1955809
Спасибо, трояна нет. А обязательно убирать остатки антивирусов?

alex_sev 20-07-2012 21:41 1955811
Новый может не встать из-за конфликта с неудаленными драйверами.

Jegin 20-07-2012 21:56 1955830
Ну спасибо, хорошо, проблема решена, можно закрывать тему.


Время: 16:44.

Время: 16:44.
© OSzone.net 2001-