С наступающим Новым годом! Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.85/13: Рейтинг темы: голосов - 13, средняя оценка - 4.85
Вячеслав111
0 / 0 / 0
Регистрация: 22.07.2012
Сообщений: 12
1

Троянская программа Win32/TrojanDownloader.Carberp.AF

23.07.2012, 02:32. Просмотров 2421. Ответов 17
Метки нет (Все метки)

Здравствуйте, поймал троянскую программу, вероятно из интернета. Антивирусная программа NOD32 пишет: Оперативная память = explorer.exe(1900) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа
Пробовал лечить выше указанным NOD-ом и утилитой CureIT - ничего не помогает..
Помогите пожалуйста избавиться от неё.
Ниже - логи:
0
Вложения
Тип файла: zip info.zip (7.7 Кб, 18 просмотров)
Тип файла: zip log.zip (9.8 Кб, 12 просмотров)
Тип файла: zip virusinfo_syscheck.zip (33.7 Кб, 10 просмотров)
Тип файла: zip virusinfo_syscure.zip (36.8 Кб, 12 просмотров)
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
23.07.2012, 02:32
Ответы с готовыми решениями:

Win32/TrojanDownloader.Carberp.AH троянская программа
Попала где-то на троян, нод32 пишет: Оперативная память » explorer.exe(1572) -...

Win32/TrojanDownloader.Carberp.AH троянская программа
Оперативная память » explorer.exe(1716) - вероятно модифицированный ...

модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа
Здравствуйте. Помогите с проблемой. Логи прикреплены.

Оперативная память = explorer.exe(308) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа
Помогите плз вчера я зашел на файлообменник что бы скачать семпл фильма и тут...

Оперативная память = explorer.exe(1064) - модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна
Сегодня антивирусник Eset Nod 32 выдал сообщение: Оперативная память =...

17
shestale
Вирусоборец
8590 / 4163 / 329
Регистрация: 22.02.2011
Сообщений: 13,731
23.07.2012, 08:35 2
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Documents and Settings\Вячеслав\Главное меню\Программы\Автозагрузка\c2TTqvUe4SM.exe','');
 DeleteFile('C:\Documents and Settings\Вячеслав\Главное меню\Программы\Автозагрузка\c2TTqvUe4SM.exe');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'SoftwareMicrosoftWindowsCurrentVersionRun'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
ExecuteRepair(16);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

2. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

3. Скачайте TDSSKiller, распакуйте в корень системного диска. Нажмите Пуск -> выполнить. В поле "открыть" впишите команду:
C:\tdsskiller.exe -qmbr -qboot
Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме.
Лог после сканирования (файл TDSSKiller_версия_дата_время_log.txt) выложите сюда.

4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

5. Сделайте лог SecurityCheck by screen317

6. Повторите логи AVZ-стандартный скрипт №2 и Rsit и прикрепите их к сообщению.

7. Смените все свои пароли на сервисах в интернете.
1
Вячеслав111
0 / 0 / 0
Регистрация: 22.07.2012
Сообщений: 12
23.07.2012, 11:08  [ТС] 3
Всё сделал
Лог ниже:
0
Вложения
Тип файла: txt TDSSKiller.2.7.46.0_23.07.2012_10.52.41_log.txt (6.3 Кб, 17 просмотров)
Katharsis
Заблокирован
23.07.2012, 11:10 4
выложите все остальное
1
Вячеслав111
0 / 0 / 0
Регистрация: 22.07.2012
Сообщений: 12
23.07.2012, 12:21  [ТС] 5
Извините, не дочитал до конца и выложил лог, попавшийся первым на глаза.
Ниже всё остальное:
0
Вложения
Тип файла: txt checkup.txt (988 байт, 4 просмотров)
Тип файла: txt mbam-log-2012-07-23 (12-05-22).txt (9.4 Кб, 10 просмотров)
Тип файла: zip virusinfo_syscheck.zip (35.0 Кб, 5 просмотров)
Тип файла: zip info.zip (7.6 Кб, 5 просмотров)
Тип файла: zip log.zip (10.1 Кб, 4 просмотров)
shestale
Вирусоборец
8590 / 4163 / 329
Регистрация: 22.02.2011
Сообщений: 13,731
23.07.2012, 12:59 6
1. Обновите Java до актуальной версии.
2. Обновите Adobe Reader до актуальной версии.

3. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Documents and Settings\Вячеслав\Application Data\igfxtray.dat','');
 QuarantineFile('C:\WINDOWS\system32\ieunitdrf.inf','');
 QuarantineFileF('C:\GEb8iWUzzwY', '*.*', false, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\Вячеслав\Application Data\GEb8iWUzzwY', '*.*', false, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\All Users\Application Data\IBank', '*.*', false, '', 0, 0);
 DeleteFile('C:\Documents and Settings\Вячеслав\Application Data\igfxtray.dat');
 DeleteFile('C:\WINDOWS\system32\ieunitdrf.inf');
 DeleteFileMask('C:\GEb8iWUzzwY', '*.*', true);
 DeleteDirectory('C:\GEb8iWUzzwY');
 DeleteFileMask('C:\Documents and Settings\Вячеслав\Application Data\GEb8iWUzzwY', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\Вячеслав\Application Data\GEb8iWUzzwY');
 RegKeyDel('HKCR', 'CLSID\{82184935-B894-4AB2-8590-603BA7D74B71}',);
 RegKeyDel('HKCR', 'english_11_afanaseyva.eProtocol',);
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'SoftwareMicrosoftWindowsCurrentVersionRun'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

4. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

5. Повторите логи AVZ-стандартный скрипт №2 и Rsit и прикрепите их к сообщению.
0
Вячеслав111
0 / 0 / 0
Регистрация: 22.07.2012
Сообщений: 12
23.07.2012, 13:39  [ТС] 7
Вот логи:
0
Вложения
Тип файла: zip virusinfo_syscheck.zip (35.6 Кб, 6 просмотров)
Тип файла: zip log.zip (9.9 Кб, 5 просмотров)
shestale
Вирусоборец
8590 / 4163 / 329
Регистрация: 22.02.2011
Сообщений: 13,731
23.07.2012, 13:54 8
п.4 из моего предыдущего поста выполните пожалуйста.

>> Обнаружены опасные расширения в списке типов файлов, не представляющих угрозы
Запустите AVZ - Файл - Мастер поиска и устранения проблем - Системные проблемы - Все проблемы - Нажмите Пуск - Отметьте пункт указанный выше - Исправить отмеченные проблемы.
Что с проблемой?
0
Вячеслав111
0 / 0 / 0
Регистрация: 22.07.2012
Сообщений: 12
23.07.2012, 13:56  [ТС] 9
Я выполнил
0
shestale
Вирусоборец
8590 / 4163 / 329
Регистрация: 22.02.2011
Сообщений: 13,731
23.07.2012, 14:03 10
Не вижу...эта папка вам знакома?
C:\Documents and Settings\All Users\Application Data\IBank
0
Вячеслав111
0 / 0 / 0
Регистрация: 22.07.2012
Сообщений: 12
23.07.2012, 17:22  [ТС] 11
Насчёт 4 пункта из вашего сообщения, то я его выполнил - отправил полученный архив по указанному адресу:
http://www.cyberforum.ru/redirector....lydXNuZXQlMkY=

А что насчёт папки "C:\Documents and Settings\All Users\Application Data\IBank" , то о её существований узнал из вашего сообщения.

И наконец что касается проблемы, то она решена! Спасибо вам огромное!!
0
shestale
Вирусоборец
8590 / 4163 / 329
Регистрация: 22.02.2011
Сообщений: 13,731
23.07.2012, 17:30 12
Цитата Сообщение от Вячеслав111 Посмотреть сообщение
А что насчёт папки "C:\Documents and Settings\All Users\Application Data\IBank" , то о её существований узнал из вашего сообщения.
Тогда это еще не все. Папка может содержать сведения угнанные с вашего компьютера.

1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFileF('C:\Documents and Settings\All Users\Application Data\IBank', '*.*', false, '', 0, 0);
 DeleteFileMask('C:\Documents and Settings\All Users\Application Data\IBank', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\All Users\Application Data\IBank');
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'SoftwareMicrosoftWindowsCurrentVersionRun'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

2. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

3. Повторите логи AVZ-стандартный скрипт №2 и Rsit и прикрепите их к сообщению.
0
Вячеслав111
0 / 0 / 0
Регистрация: 22.07.2012
Сообщений: 12
23.07.2012, 17:53  [ТС] 13
Сделал, логи ниже:
0
Вячеслав111
0 / 0 / 0
Регистрация: 22.07.2012
Сообщений: 12
23.07.2012, 17:56  [ТС] 14
Цитата Сообщение от Вячеслав111 Посмотреть сообщение
Сделал, логи ниже:
.......
0
Вложения
Тип файла: zip log.zip (9.9 Кб, 4 просмотров)
Тип файла: zip virusinfo_syscheck.zip (38.5 Кб, 3 просмотров)
shestale
Вирусоборец
8590 / 4163 / 329
Регистрация: 22.02.2011
Сообщений: 13,731
23.07.2012, 18:14 15
Карантины так и не вижу от вас...отправьте не через форму, а прямо на почту.
Цитата Сообщение от shestale Посмотреть сообщение
quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.
Теперь чисто.
Рекомендации после удаления вредоносного ПО
0
Вячеслав111
0 / 0 / 0
Регистрация: 22.07.2012
Сообщений: 12
23.07.2012, 18:27  [ТС] 16
Дело в том, что папка так же, как и WinRAR архив "quarantine" пусты..
Подскажите пожалуйста стоит ли удалять Malwarebytes Anti-Malware? У меня помимо его стоит антивирус Nod 32.
0
shestale
Вирусоборец
8590 / 4163 / 329
Регистрация: 22.02.2011
Сообщений: 13,731
23.07.2012, 18:30 17
ОК!
МВАМ лучше удалить.
1
Вячеслав111
0 / 0 / 0
Регистрация: 22.07.2012
Сообщений: 12
23.07.2012, 18:31  [ТС] 18
Спасибо вам огромное за помощь!
0
23.07.2012, 18:31
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
23.07.2012, 18:31

[Логи есть] Оперативная память = explorer.exe - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа
Проблемы: 1) Переводит на фиш. сайт ВК и др соц сети. 2) не убирается из авто...

Win32 TrojanDownloader.Carberp.AF
Сделал всё что нужно

Win32/TrojanDownloader.Carberp.AF
Обнаружен троян в оперативной памяти,как всё сложно для блондинки(((.Не...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
18
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru