Троянская программа Win32/TrojanDownloader.Carberp.AF

@Вячеслав111 · Регистрация: 22.07.2012

Студворк — интернет-сервис помощи студентам

Здравствуйте, поймал троянскую программу, вероятно из интернета. Антивирусная программа NOD32 пишет: Оперативная память = explorer.exe(1900) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа
Пробовал лечить выше указанным NOD-ом и утилитой CureIT - ничего не помогает..
Помогите пожалуйста избавиться от неё.
Ниже - логи:

@shestale · 23.07.2012, 08:35

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Documents and Settings\Вячеслав\Главное меню\Программы\Автозагрузка\c2TTqvUe4SM.exe','');
 DeleteFile('C:\Documents and Settings\Вячеслав\Главное меню\Программы\Автозагрузка\c2TTqvUe4SM.exe');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'SoftwareMicrosoftWindowsCurrentVersionRun'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
ExecuteRepair(16);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

2. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

3. Скачайте TDSSKiller, распакуйте в корень системного диска. Нажмите Пуск -> выполнить. В поле "открыть" впишите команду:

C:\tdsskiller.exe -qmbr -qboot

Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме.
Лог после сканирования (файл TDSSKiller_версия_дата_время_log.txt) выложите сюда.

4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

5. Сделайте лог SecurityCheck by screen317

6. Повторите логи AVZ-стандартный скрипт №2 и Rsit и прикрепите их к сообщению.

7. Смените все свои пароли на сервисах в интернете.

@Вячеслав111 · 23.07.2012, 11:08 **[ТС]**

Всё сделал
Лог ниже:

@Katharsis · 23.07.2012, 11:10

выложите все остальное

@Вячеслав111 · 23.07.2012, 12:21 **[ТС]**

Извините, не дочитал до конца и выложил лог, попавшийся первым на глаза.
Ниже всё остальное:

@shestale · 23.07.2012, 12:59

1. Обновите Java до актуальной версии.
2. Обновите Adobe Reader до актуальной версии.

3. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Documents and Settings\Вячеслав\Application Data\igfxtray.dat','');
 QuarantineFile('C:\WINDOWS\system32\ieunitdrf.inf','');
 QuarantineFileF('C:\GEb8iWUzzwY', '*.*', false, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\Вячеслав\Application Data\GEb8iWUzzwY', '*.*', false, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\All Users\Application Data\IBank', '*.*', false, '', 0, 0);
 DeleteFile('C:\Documents and Settings\Вячеслав\Application Data\igfxtray.dat');
 DeleteFile('C:\WINDOWS\system32\ieunitdrf.inf');
 DeleteFileMask('C:\GEb8iWUzzwY', '*.*', true);
 DeleteDirectory('C:\GEb8iWUzzwY');
 DeleteFileMask('C:\Documents and Settings\Вячеслав\Application Data\GEb8iWUzzwY', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\Вячеслав\Application Data\GEb8iWUzzwY');
 RegKeyDel('HKCR', 'CLSID\{82184935-B894-4AB2-8590-603BA7D74B71}',);
 RegKeyDel('HKCR', 'english_11_afanaseyva.eProtocol',);
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'SoftwareMicrosoftWindowsCurrentVersionRun'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

4. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

5. Повторите логи AVZ-стандартный скрипт №2 и Rsit и прикрепите их к сообщению.

@Вячеслав111 · 23.07.2012, 13:39 **[ТС]**

Вот логи:

@shestale · 23.07.2012, 13:54

п.4 из моего предыдущего поста выполните пожалуйста.

>> Обнаружены опасные расширения в списке типов файлов, не представляющих угрозы

Запустите AVZ - Файл - Мастер поиска и устранения проблем - Системные проблемы - Все проблемы - Нажмите Пуск - Отметьте пункт указанный выше - Исправить отмеченные проблемы.

Что с проблемой?

@Вячеслав111 · 23.07.2012, 13:56 **[ТС]**

Я выполнил

@shestale · 23.07.2012, 14:03

Не вижу...эта папка вам знакома?

C:\Documents and Settings\All Users\Application Data\IBank

@Вячеслав111 · 23.07.2012, 17:22 **[ТС]**

Насчёт 4 пункта из вашего сообщения, то я его выполнил - отправил полученный архив по указанному адресу:
https://www.cyberforum.ru/redi... NuZXQlMkY=

А что насчёт папки "C:\Documents and Settings\All Users\Application Data\IBank" , то о её существований узнал из вашего сообщения.

И наконец что касается проблемы, то она решена! Спасибо вам огромное!!

@shestale · 23.07.2012, 17:30

Сообщение от Вячеслав111

А что насчёт папки "C:\Documents and Settings\All Users\Application Data\IBank" , то о её существований узнал из вашего сообщения.

Тогда это еще не все. Папка может содержать сведения угнанные с вашего компьютера.

1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFileF('C:\Documents and Settings\All Users\Application Data\IBank', '*.*', false, '', 0, 0);
 DeleteFileMask('C:\Documents and Settings\All Users\Application Data\IBank', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\All Users\Application Data\IBank');
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'SoftwareMicrosoftWindowsCurrentVersionRun'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

2. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

3. Повторите логи AVZ-стандартный скрипт №2 и Rsit и прикрепите их к сообщению.

@Вячеслав111 · 23.07.2012, 17:53 **[ТС]**

Сделал, логи ниже:

@Вячеслав111 · 23.07.2012, 17:56 **[ТС]**

Сообщение от Вячеслав111

Сделал, логи ниже:

.......

@shestale · 23.07.2012, 18:14

Карантины так и не вижу от вас...отправьте не через форму, а прямо на почту.

Сообщение от shestale

quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

Теперь чисто.
Рекомендации после удаления вредоносного ПО

@Вячеслав111 · 23.07.2012, 18:27 **[ТС]**

Дело в том, что папка так же, как и WinRAR архив "quarantine" пусты..
Подскажите пожалуйста стоит ли удалять Malwarebytes Anti-Malware? У меня помимо его стоит антивирус Nod 32.

@shestale · 23.07.2012, 18:30

ОК!
МВАМ лучше удалить.

@Вячеслав111 · 23.07.2012, 18:31 **[ТС]**

Спасибо вам огромное за помощь!

Новые блоги и статьи Все статьи Все блоги /
Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .	Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и напряжениями. Надо найти токи в ветвях. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и решает её. Последовательность действий:. . .
Новый CodeBlocs. Версия 25.03 palva 04.01.2026 Оказывается, недавно вышла новая версия CodeBlocks за номером 25. 03. Когда-то давно я возился с только что вышедшей тогда версией 20. 03. С тех пор я давно снёс всё с компьютера и забыл. Теперь. . .	Модель микоризы: классовый агентный подход anaschu 02.01.2026 Раньше это было два гриба и бактерия. Теперь три гриба, растение. И на уровне агентов добавится между грибами или бактериями взаимодействий. До того я пробовал подход через многомерные массивы,. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	23.07.2012, 11:10
	выложите все остальное 1

@Вячеслав111 0 / 0 / 0 Регистрация: 22.07.2012 Сообщений: 12
	23.07.2012, 13:56 [ТС]
	Я выполнил 0

@Вячеслав111 0 / 0 / 0 Регистрация: 22.07.2012 Сообщений: 12
	23.07.2012, 17:22 [ТС]
	Насчёт 4 пункта из вашего сообщения, то я его выполнил - отправил полученный архив по указанному адресу: https://www.cyberforum.ru/redi... NuZXQlMkY= А что насчёт папки "C:\Documents and Settings\All Users\Application Data\IBank" , то о её существований узнал из вашего сообщения. И наконец что касается проблемы, то она решена! Спасибо вам огромное!! 0

@Вячеслав111 0 / 0 / 0 Регистрация: 22.07.2012 Сообщений: 12
	23.07.2012, 17:53 [ТС]
	Сделал, логи ниже: 0

@Вячеслав111 0 / 0 / 0 Регистрация: 22.07.2012 Сообщений: 12
	23.07.2012, 18:27 [ТС]
	Дело в том, что папка так же, как и WinRAR архив "quarantine" пусты.. Подскажите пожалуйста стоит ли удалять Malwarebytes Anti-Malware? У меня помимо его стоит антивирус Nod 32. 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	23.07.2012, 18:30
	ОК! МВАМ лучше удалить. 1

@Вячеслав111 0 / 0 / 0 Регистрация: 22.07.2012 Сообщений: 12
	23.07.2012, 18:31 [ТС]
	Спасибо вам огромное за помощь! 0