Троян Сarberp!Dat. - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Троян Сarberp!Dat. (http://forum.oszone.net/showthread.php?t=231029)

Троян Сarberp!Dat.

Вообщем, ситуация такая. Microsoft Security Essentials постоянно вылазит при начале работы с виндой, удаляет папку с диска С, которая имеет странное название на латинице, но она все время появляется заново. Собсно, нужна помощь и чем быстрее тем лучше)))

Выложите логи в соответствии с этими инструкциями.

Для начала сохраните на локальный диск следующую страницу, если после выполнения скрипта пропадет доступ в интернет, выполните описанные там действия.

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 ClearQuarantine;

 QuarantineFile('C:\Users\Vovik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\eCL5Ryw0KZg.exe','');

 QuarantineFile('C:\ProgramData\FJvPrxflnC.dll','');

 QuarantineFile('C:\Users\Vovik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AdobeLoadertappte.lnk','');

 QuarantineFile('C:\Users\Vovik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\exudfedouble.lnk','');

 DeleteFile('C:\Users\Vovik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AdobeLoadertappte.lnk');

 DeleteFile('C:\Users\Vovik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\exudfedouble.lnk');

 DeleteFile('C:\ProgramData\FJvPrxflnC.dll');

 DeleteFile('C:\Users\Vovik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\eCL5Ryw0KZg.exe');

 DeleteFileMask('C:\Users\Vovik\AppData\Roaming\0iYinx14cLYdvzB', '*.*', true);

 DeleteDirectory('C:\Users\Vovik\AppData\Roaming\0iYinx14cLYdvzB');

 DeleteFileMask('C:\Users\Vovik\AppData\Roaming\0iYinx14cLYdvzB', '*.*', true);

 DeleteDirectory('C:\Users\Vovik\AppData\Roaming\0iYinx14cLYdvzB');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

 ExecuteRepair(14);

 ExecuteWizard('SCU',2,3,true);

RebootWindows(true);

end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Полученный архив из папки с распакованной AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:

O4 - Startup: AdobeLoadertappte.lnk = C:\Windows\System32\cmd.exe

O4 - Startup: eCL5Ryw0KZg.exe

O4 - Startup: exudfedouble.lnk = C:\Windows\System32\cmd.exe

Сделайте повторные логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

+

сделайте лог OSAM

В HJT нету таких строк, остальное все сделал.

1.

Выполните скрипт в AVZ:

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 ExecuteRepair(14);

 ExecuteWizard('SCU',2,3,true);

RebootWindows(true);

end.

Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:

Код:

tdsskiller.exe -silent -qmbr -qboot
Запустите файл fix.bat;
Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
Запустите файл TDSSKiller.exe;
Нажмите кнопку "Начать проверку";
В процессе проверки могут быть обнаружены объекты двух типов:
- вредоносные (точно было установлено, какой вредоносной программой поражен объект);
- подозрительные (тип вредоносного воздействия точно установить невозможно).
По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

3.

Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
Прикрепите файл к следующему сообщению.

4.

Повторите лог RSIT