klpclst.dat Trojan.Carberp.30

@lichno sam · Регистрация: 14.03.2012

Author24 — интернет-сервис помощи студентам

Приветствую.
У меня проблема с браузерами и соединениями с сайтами. Выражается в следующем: при открытии браузера Firefox появляется окно "Ой, вот ведь незадача. При восстановлении ваших окон и вкладок у Firefox возникла проблема. Обычно это вызвано недавно открытой веб-страницей."
Далее можно выбрать хоть "восстановить" хоть "начать новую сессию" эффект один - браузер схлопывается и появляется окно:
firefox.exe -Ошибка приложения. (Инструкция по адресу 0х02f958ef обратилась к памяти по адресу 0х00000001. Память не может быть "written")
и следом заставка: Mozilla Crash Reporter.
Нажимаешь "перезапустить мозиллу" - всё повторяется.

Удалил старый Firefox и загрузил новый (ч/з браузер Эксплорер можно кое как выйти в интернет) но с новым Firefox всё вточности то же.
Просканировал ноутбук CureIT (свежим от 09.03.12) какие-то заражённые файлы он нашёл и удалил. Но проблема с браузерами осталась – Firefox схлопывается, Эксплорер позволяет зайти на поисковик Гугла, но при попытке перейти по ссылке на сайт – схлопывается тоже. Приходится копировать адрес сайта в адресную строку браузера и только так есть шанс зайти на сайт (не всегда с первой попытки).
Разбираясь в возможных причинах проблемы я обнаружил в папке «Автозагрузка» подозрительный файл: 5nNrztfAlwk.exe. В Свойствах файла у него указано: тип файла – Приложение, описание -Roar Ride Tempo.
Решил проверить его на virustotal.com - в результате:
DrWeb опознал его как - Trojan.Carberp.276
Kaspersky как - Backdoor.Win32.Gbot.vkr
NOD32 как - a variant of Win32/Kryptik.ACHG
Avast как - Win32:Carberp-ZE [Trj]
AVG как - BackDoor.Generic15.USW
Прилагаю ссылку на анализ: https://www.virustotal.com/fil... 331566733/
Утилита CureIT его не выявила и не удалила ни при «быстрой проверке» ни при «полном сканировании», ни в обычном ни в безопасном режиме. В отчёте напротив этого файла: 5nNrztfAlwk.exe - ОК и «упакован UPX» и «упакован FLY-CODE»
Попробовал удалить его с помощью LiveCD (свежий от 10.03.12) но он всё равно остался там же где и был.
В ручную он тоже не удаляется, появляется предупреждение:
«Не удаётся удалить 5nNrztfAlwk.exe Объект используется другими пользователями или программой. Закройте все программы которые могут использовать этот файл и повторите попытку.»
Но все программы у меня в этот момент закрыты.
Кроме этого на диске С самопроизвольно появляется папка GoK7lfK4qmoNUFh, внутри всего один файл – klpclst.dat. Так же проверил его на virustotal.com - в результате:
DrWeb опознал его как - Trojan.Carberp.30
Kaspersky как - Trojan.Script.Carberp.a
Avast как - VBS:Malware-gen
Ссылка на анализ: https://www.virustotal.com/fil... 331568682/
При сканировании CureIT его опознаёт и удаляет, но он спустя некоторое время появляется снова в том же месте. Думаю эти появления связаны с неудаляемым 5nNrztfAlwk.exe .

Можете что-то посоветовать, как побороть эту заразу?
С уважением.

@~~Katharsis~~ · 15.03.2012, 01:54

D:\autorun.inf откройте блокнотом, текст сюда скопируйте

@lichno sam · 15.03.2012, 02:01 **[ТС]**

[autorun]
OPEN=setupSNK.exe
ICON=\SMRTNTKY\fcw.ico
ACTION=Мастер установки беспроводной сети

@~~Katharsis~~ · 15.03.2012, 02:20

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
_______________________________________________________

1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО. Потребуется установочный диск с дистрибутивом Windows XP SP3
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код

 Procedure SysFileRecoverFromDistrib (Path, Name : string);
begin
 if MessageDLG('Для замены повреждённого системного файла ' + Name + ', который находится в папке ' + Path + ', вставьте дистрибутив Windows в CD\DVD-привод и нажмите "Да". Если же у вас нет дистрибутива или Вы хотите выполнить замену самостоятельно, нажмите "Нет"', mtConfirmation, mbYes+mbNo, 0) = 6 then
  begin   
    ExecuteFile('sfc /scannow', '', 1, 0, true);
    AddToLog('Пользователь выполнил "sfc /scannow"');
  end
 else
    AddToLog('Пользователь выбрал самостоятельный способ замены.');
end;

Procedure CompleteFix(Path, Name : string);
begin
   RenameFile('%windir%\system32\' + Name, '%windir%\system32\' + Name + '.bak');
   CopyFile(Path + Name, '%windir%\system32\' + Name);
   DeleteFile('%windir%\system32\' + Name + '.bak');
end;

Procedure SysFileRecoverFromBackup(Path, Name : string);
begin
  AddToLog('Файл ' + '%windir%\system32\' + Name + ' -> MD5 = ' + CalkFileMD5('%windir%\system32\' + Name));
  if (FileExists('%windir%\system32\dllcache\' + Name) and FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) and ((CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name))) then
   begin
     AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - MD5 у файлов различные. Запрошен дистрибутив.');
     AddToLog('Файл ' + '%windir%\system32\dllcache\' + Name + ' -> MD5 = ' + CalkFileMD5('%windir%\system32\dllcache\' + Name));
     AddToLog('Файл ' + '%windir%\ServicePackFiles\i386\dllcache\' + Name + ' -> MD5 = ' + CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name));
     SysFileRecoverFromDistrib(Path, Name);
   end
  else if FileExists('%windir%\system32\dllcache\' + Name) then
   begin
    AddToLog('Файл ' + '%windir%\system32\dllcache\' + Name + ' -> MD5 = ' + CalkFileMD5('%windir%\system32\dllcache\' + Name));
    if (CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
      begin
        CompleteFix('%windir%\system32\dllcache\', Name); 
        AddToLog('Замена ' + Name + ' успешно произведена из \system32\dllcache\');
      end
    else if FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name) then
     begin
       AddToLog('Файл ' + '%windir%\ServicePackFiles\i386\dllcache\' + Name + ' -> MD5 = ' + CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name));
       if (CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
        begin
          CompleteFix('%windir%\ServicePackFiles\i386\dllcache\', Name);
          AddToLog('Замена ' + Name + ' успешно произведена из \ServicePackFiles\i386\');
        end
     end
   end;
 if (not FileExists('%windir%\system32\dllcache\' + Name)) and (not FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) then 
  begin
    AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - нет файлов. Запрошен дистрибутив.');
    SysFileRecoverFromDistrib(Path, Name);
  end;
 SaveLog('SafeZone.log');
end;

var SourcePath : String;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearLog;
 QuarantineFile('%windir%\system32\drivers\sfc.sys','');  QuarantineFileF('C:\GoK7lfK4qmoNUFh', '*.*', false, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\Admin\Application Data\GoK7lfK4qmoNUFh', '*.*', false, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\All Users\Application Data\FLEXnet', '*.*', false, '', 0, 0);
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\WRiyImiLA.dll','');
 QuarantineFile('ф?‘|x?‹.exe','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
 QuarantineFile('C:\Program Files\plugin.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\5nNrztfAlwk.exe','');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\5nNrztfAlwk.exe');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\WRiyImiLA.dll');
 DeleteFile('C:\Program Files\plugin.exe');
 DeleteFile('ф?‘|x?‹.exe.');
 DeleteFile('C:\WINDOWS\system32\svshost.dll');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('C:\plg.txt');
 DelCLSID('D7FFD784-5276-42D1-887B-00267870A4C7');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','SysRun');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host for Win32 Services');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
 DeleteFileMask('C:\GoK7lfK4qmoNUFh', '*.*', true);
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\GoK7lfK4qmoNUFh', '*.*', true);
 DeleteFileMask('C:\Documents and Settings\All Users\Application Data\FLEXnet', '*.*', true);
 DeleteDirectory('C:\GoK7lfK4qmoNUFh');
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\GoK7lfK4qmoNUFh');
 DeleteDirectory('C:\Documents and Settings\All Users\Application Data\FLEXnet');
 DeleteFile('%windir%\system32\drivers\sfc.sys');
 SysFileRecoverFromBackup('%windir%\system32\', 'sfcfiles.dll'); 
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('sfc');
BC_Activate;
 ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
 ExecuteRepair(14);
RebootWindows(true);
end.

После перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме. файл SafeZone.log из каталога АВЗ прикрепите к теме

2. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

3. Скачайте TDSSKiller, распакуйте в корень системного диска. Нажмите Пуск - выполнить. В поле открыть впишите команду: C:\tdsskiller.exe -qmbr -qboot Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine <at> safezone.cc*(замените*<at>*на*@) с указанием ссылки на тему и ника на форуме. Лог после сканирования (файл TDSSKiller.2.7.15.0_дата_время_log.txt) выложите сюда.

4. обновите:
adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.

5. Обновите базы АВЗ и сделайте повторные логи avz и rsit.

6. смените все пароли

@lichno sam · 16.03.2012, 01:33 **[ТС]**

Приветствую.
Сделал всё как вы написали с одним отступлением: у меня нет диска с дистрибутивом Windows XP SP3, поэтому когда делал первый скрипт, на предложение системы "Для замены повреждённого системного файла sfcfiles.dill, который находится в папке %windir%\system32\ вставьте дистрибутив Windows в CD-привод и нажмите "Да"." , я выбрал вариант с отсутствием дистрибутива и нажал "Нет". Далее сделал второй скрипт и все указанные проверки.
После окончания проверил - файл 5nNrztfAlwk.exe. из папки "Автозагрузки" пропал.
Видимо из-за того что при выполнении первого скрипта выбрал "Нет", после, при попытке отправить результаты на форум, оказалось что нет возможности выйти в интернет т.е. интернет подключен, но на все попытки соединения с сайтами браузеры говорят "невозможно отобразить данную страницу" (сейчас вышел в интернет, загрузившись с диска LiveCD).
Можно как-то заменить (или восстановить) данный файл sfcfiles.dill без дистрибутива, а если нет то достаточно ли будет потом просто повторить вышеуказанные скрипты с использованием дистрибутива, для того что бы интернет заработал в штатном режиме?
И ещё, правильно я понял: папку TDSSKiller_Quarantine нужно упаковать в архив WinRAR и обозвав её virus отправить на указанный электронный адрес? Или как сделать у неё этот "пароль"?

@lichno sam · 16.03.2012, 01:38 **[ТС]**

Лог TDSSKiller превышает допустимый обьём, упакую его в WinRAR и следом вышлю

@lichno sam · 16.03.2012, 02:04 **[ТС]**

Вот, как обещал

@~~Katharsis~~ · 16.03.2012, 02:09

Сообщение от lichno sam

Можно как-то заменить (или восстановить) данный файл sfcfiles.dill без дистрибутива

вам не нужно его менять, чистый.

1. из найденного MBAM удалите:

Обнаруженные ключи в реестре: 7
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Действие не было предпринято.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Действие не было предпринято.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Действие не было предпринято.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Действие не было предпринято.
HKCR\idid (Trojan.Sasfix) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\MsUpdater (Trojan.Agent) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network|UID (Malware.Trace) -> Параметры: EVGENIY_000281F7 -> Действие не было предпринято.

Обнаруженные папки: 1
C:\WINDOWS\system32\lowsec (Stolen.data) -> Действие не было предпринято.

Обнаруженные файлы: 17
C:\Documents and Settings\Admin\DoctorWeb\Quarantine\0.11755391341013244.exe (Spyware.Passwords.XGen) -> Действие не было предпринято.
C:\Documents and Settings\Admin\DoctorWeb\Quarantine\41523e94-664e81ca (Trojan.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\Admin\DoctorWeb\Quarantine\igfxtray.exe (Heuristics.Shuriken) -> Действие не было предпринято.
C:\Documents and Settings\Admin\DoctorWeb\Quarantine\jar_cache62996.tmp (Spyware.Passwords.XGen) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\14.tmp (Trojan.Zbot.CBCGen) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\1B.tmp (Trojan.Zbot.CBCGen) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\1C.tmp (Trojan.Zbot.CBCGen) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\27.tmp (Trojan.Zbot.CBCGen) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\7E.tmp (Trojan.Ransom.Gen) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\0.02134341478920354.exe (Exploit.Drop.2) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\0.9374778165581306.exe (Exploit.Drop.2) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\ms0cfg32.exe (Exploit.Drop.CFG) -> Действие не было предпринято.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Действие не было предпринято.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Действие не было предпринято.

2. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Documents and Settings\All Users\Application Data\WRiyImiLA.dll');
 DelSPIByFileName('C:\Documents and Settings\All Users\Application Data\WRiyImiLA.dll', false);
 AutoFixSPI;
RebootWindows(false);
end.

компьютер перезагрузится.
Если подключение не восстановится - скачайте и запустите WinsockFix. После перезагрузки интернет должен заработать.

3. В целях безопасности скачайте и установите Internet Explorer 8

4. повторите логи avz, rsit, mbam

@~~Katharsis~~ · 18.03.2012, 23:54

lichno sam, мы ждем вашего ответа

@lichno sam · 23.03.2012, 00:51 **[ТС]**

Приветствую.
Извините за задержку с ответом.
Всё сделал, как советовали в пост#8. После запуска WinsockFix и последующей перезагрузки интернет заработал как надо - Мозила больше не падает, соединение со всеми сайтами происходит без сбоев и в Мозиле и в Эксплорэре.
Повторил сейчас проверку avz, rsit, mbam, логи прилагаю.

P.S. В отчёте mbam опять в папке "Автозагрузка" вроде бы какой-то троянц, но я открываю папку и ни одного файла там не вижу?!

@~~Katharsis~~ · 23.03.2012, 01:13

из найденного mbam нужно удалить только это (отметить галками и нажать кнопку "удалить")

Обнаруженные файлы: 7
C:\AVZ\avz4\avz4\Quarantine\2012-03-15\avz00004.dta (Spyware.Zbot.ES) -> Действие не было предпринято.
C:\AVZ\avz4\avz4\Quarantine\2012-03-15\bcqr00013.dat (Spyware.Zbot.ES) -> Действие не было предпринято.
C:\AVZ\avz4\avz4\Quarantine\2012-03-15\bcqr00014.dat (Spyware.Zbot.ES) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\ggqeim.dll (Spyware.Zbot.ES) -> Действие не было предпринято.
c:\documents and settings\admin\главное меню\программы\автозагрузка\qo5l7erh3b.exe (Trojan.Agent.H) -> Действие не было предпринято.

Сообщение от lichno sam

В отчёте mbam опять в папке "Автозагрузка" вроде бы какой-то троянц, но я открываю папку и ни одного файла там не вижу?!

в проводнике вы их и не видите, т к эти файлы скрыты (действие rootkit)

и обязательно установить обновления , т к вирус распространяется через уязвимости софта, которые эти обновления закрывают:

В целях безопасности скачайте и установите Internet Explorer 8 - даже если не пользуетесь.

adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.

после всего, даже несмотря на то что все работает как надо (т к троянцы, ворующие данные пользователя могут никак не проявлять своего присутствия) сделать повторный лог MBAM (полное сканирование диска C) и AVZ стандартный скрипт 2, по перед этим обязательно обновите базы (меню файл - обновление баз)

@~~Katharsis~~ Заблокирован
	15.03.2012, 01:54	2
	D:\autorun.inf откройте блокнотом, текст сюда скопируйте 0

@lichno sam 0 / 0 / 0 Регистрация: 14.03.2012 Сообщений: 8
	15.03.2012, 02:01 [ТС]	3
	[autorun] OPEN=setupSNK.exe ICON=\SMRTNTKY\fcw.ico ACTION=Мастер установки беспроводной сети 0

@lichno sam 0 / 0 / 0 Регистрация: 14.03.2012 Сообщений: 8
	16.03.2012, 01:33 [ТС]	5
	Приветствую. Сделал всё как вы написали с одним отступлением: у меня нет диска с дистрибутивом Windows XP SP3, поэтому когда делал первый скрипт, на предложение системы "Для замены повреждённого системного файла sfcfiles.dill, который находится в папке %windir%\system32\ вставьте дистрибутив Windows в CD-привод и нажмите "Да"." , я выбрал вариант с отсутствием дистрибутива и нажал "Нет". Далее сделал второй скрипт и все указанные проверки. После окончания проверил - файл 5nNrztfAlwk.exe. из папки "Автозагрузки" пропал. Видимо из-за того что при выполнении первого скрипта выбрал "Нет", после, при попытке отправить результаты на форум, оказалось что нет возможности выйти в интернет т.е. интернет подключен, но на все попытки соединения с сайтами браузеры говорят "невозможно отобразить данную страницу" (сейчас вышел в интернет, загрузившись с диска LiveCD). Можно как-то заменить (или восстановить) данный файл sfcfiles.dill без дистрибутива, а если нет то достаточно ли будет потом просто повторить вышеуказанные скрипты с использованием дистрибутива, для того что бы интернет заработал в штатном режиме? И ещё, правильно я понял: папку TDSSKiller_Quarantine нужно упаковать в архив WinRAR и обозвав её virus отправить на указанный электронный адрес? Или как сделать у неё этот "пароль"? 0

@~~Katharsis~~ Заблокирован
	16.03.2012, 02:09	8
	Сообщение от lichno sam Можно как-то заменить (или восстановить) данный файл sfcfiles.dill без дистрибутива вам не нужно его менять, чистый. 1. из найденного MBAM удалите: Обнаруженные ключи в реестре: 7 HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Действие не было предпринято. HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Действие не было предпринято. HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Действие не было предпринято. HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Действие не было предпринято. HKCR\idid (Trojan.Sasfix) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\MsUpdater (Trojan.Agent) -> Действие не было предпринято. HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> Действие не было предпринято. Обнаруженные параметры в реестре: 1 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\|UID (Malware.Trace) -> Параметры: EVGENIY_000281F7 -> Действие не было предпринято. Обнаруженные папки: 1 C:\WINDOWS\system32\lowsec (Stolen.data) -> Действие не было предпринято. Обнаруженные файлы: 17 C:\Documents and Settings\Admin\DoctorWeb\Quarantine\0.11755391341013244.exe (Spyware.Passwords.XGen) -> Действие не было предпринято. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\41523e94-664e81ca (Trojan.Dropper) -> Действие не было предпринято. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\igfxtray.exe (Heuristics.Shuriken) -> Действие не было предпринято. C:\Documents and Settings\Admin\DoctorWeb\Quarantine\jar_cache62996.tmp (Spyware.Passwords.XGen) -> Действие не было предпринято. C:\Documents and Settings\Admin\Local Settings\Temp\14.tmp (Trojan.Zbot.CBCGen) -> Действие не было предпринято. C:\Documents and Settings\Admin\Local Settings\Temp\1B.tmp (Trojan.Zbot.CBCGen) -> Действие не было предпринято. C:\Documents and Settings\Admin\Local Settings\Temp\1C.tmp (Trojan.Zbot.CBCGen) -> Действие не было предпринято. C:\Documents and Settings\Admin\Local Settings\Temp\27.tmp (Trojan.Zbot.CBCGen) -> Действие не было предпринято. C:\Documents and Settings\Admin\Local Settings\Temp\7E.tmp (Trojan.Ransom.Gen) -> Действие не было предпринято. C:\Documents and Settings\Admin\Local Settings\Temp\0.02134341478920354.exe (Exploit.Drop.2) -> Действие не было предпринято. C:\Documents and Settings\Admin\Local Settings\Temp\0.9374778165581306.exe (Exploit.Drop.2) -> Действие не было предпринято. C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято. C:\Documents and Settings\Admin\Local Settings\Temp\ms0cfg32.exe (Exploit.Drop.CFG) -> Действие не было предпринято. C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Действие не было предпринято. C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Действие не было предпринято. 2. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить. Код begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\All Users\Application Data\WRiyImiLA.dll'); DelSPIByFileName('C:\Documents and Settings\All Users\Application Data\WRiyImiLA.dll', false); AutoFixSPI; RebootWindows(false); end. компьютер перезагрузится. Если подключение не восстановится - скачайте и запустите WinsockFix. После перезагрузки интернет должен заработать. 3. В целях безопасности скачайте и установите Internet Explorer 8 4. повторите логи avz, rsit, mbam 0

@~~Katharsis~~ Заблокирован
	18.03.2012, 23:54	9
	lichno sam, мы ждем вашего ответа 0

@~~Katharsis~~ Заблокирован
	23.03.2012, 01:13	11
	из найденного mbam нужно удалить только это (отметить галками и нажать кнопку "удалить") Обнаруженные файлы: 7 C:\AVZ\avz4\avz4\Quarantine\2012-03-15\avz00004.dta (Spyware.Zbot.ES) -> Действие не было предпринято. C:\AVZ\avz4\avz4\Quarantine\2012-03-15\bcqr00013.dat (Spyware.Zbot.ES) -> Действие не было предпринято. C:\AVZ\avz4\avz4\Quarantine\2012-03-15\bcqr00014.dat (Spyware.Zbot.ES) -> Действие не было предпринято. C:\Documents and Settings\Admin\Local Settings\Temp\ggqeim.dll (Spyware.Zbot.ES) -> Действие не было предпринято. c:\documents and settings\admin\главное меню\программы\автозагрузка\qo5l7erh3b.exe (Trojan.Agent.H) -> Действие не было предпринято. Сообщение от lichno sam В отчёте mbam опять в папке "Автозагрузка" вроде бы какой-то троянц, но я открываю папку и ни одного файла там не вижу?! в проводнике вы их и не видите, т к эти файлы скрыты (действие rootkit) и обязательно установить обновления , т к вирус распространяется через уязвимости софта, которые эти обновления закрывают: В целях безопасности скачайте и установите Internet Explorer 8 - даже если не пользуетесь. adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки. после всего, даже несмотря на то что все работает как надо (т к троянцы, ворующие данные пользователя могут никак не проявлять своего присутствия) сделать повторный лог MBAM (полное сканирование диска C) и AVZ стандартный скрипт 2, по перед этим обязательно обновите базы (меню файл - обновление баз) 0

Опции темы