Trojan-Spy.Win32.Carberp

@als04 · Регистрация: 08.10.2012

Author24 — интернет-сервис помощи студентам

Троян не лечится.
Прикрепил файлы по инструкции

@thyrex · 08.10.2012, 22:56

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
_______________________________________________________

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Y9DQh55m9Tw.exe','');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Y9DQh55m9Tw.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\419625FdOh');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','422671');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREPAIR(13); 
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи этой формы

Пофиксите в HiJack

Код

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.APEHA.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.apeha.ru

Удалите папку C:\Documents and Settings\All Users\Application Data\IBank вручную

Сделайте новые логи

@~~Katharsis~~ · 08.10.2012, 22:58

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

Скачайте TDSSKiller, распакуйте в корень системного диска. Нажмите Пуск - выполнить. В поле открыть впишите команду: C:\tdsskiller.exe -qmbr -qboot Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме. Лог после сканирования (файл TDSSKiller.2.7.15.0_дата_время_log.txt) выложите сюда.

@als04 · 09.10.2012, 21:12 **[ТС]**

Подготовил новые логи.

@~~Katharsis~~ · 09.10.2012, 21:41

Сообщение от Katharsis

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

Сообщение от Katharsis

Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме.

?????

@als04 · 10.10.2012, 10:42 **[ТС]**

Вроде все и везде отправил.
Может туплю.

@~~Katharsis~~ · 10.10.2012, 10:48

лог Malwarebytes' Anti-Malware не выложили

@als04 · 10.10.2012, 17:28 **[ТС]**

Пардон. Теперь кажется то что надо.

@~~Katharsis~~ · 10.10.2012, 18:11

смените все пароли

Мастер поиска и устранения проблем
>> Internet Explorer - заблокирована настройка домашней страницы

вами сделано?

что с проблемой?

@als04 · 10.10.2012, 18:27 **[ТС]**

С IE ничего не делал - не пользуюсь.
Троян вроде не определяется (пользуюсь Nod32).
Признаться честно, никогда не копал так глубоко!
Что это я делал с компом с Вашей помощью даже не представляю.
Низкий Вам поклон!

@~~Katharsis~~ · 10.10.2012, 18:36

Сообщение от als04

С IE ничего не делал

если хотите разблокировать - AVZ - файл - мастер поиска и устранения проблем - все проблемы. из списка найдите эту, нажмите "исправить"

Рекомендации после удаления вредоносного ПО

@~~Katharsis~~ Заблокирован
	08.10.2012, 22:58	3
	+ Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Скачайте TDSSKiller, распакуйте в корень системного диска. Нажмите Пуск - выполнить. В поле открыть впишите команду: C:\tdsskiller.exe -qmbr -qboot Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме. Лог после сканирования (файл TDSSKiller.2.7.15.0_дата_время_log.txt) выложите сюда. 0

@~~Katharsis~~ Заблокирован
	09.10.2012, 21:41	5
	Сообщение от Katharsis Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Сообщение от Katharsis Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме. ????? 0

@als04 0 / 0 / 0 Регистрация: 08.10.2012 Сообщений: 5
	10.10.2012, 10:42 [ТС]	6
	Вроде все и везде отправил. Может туплю. 0

@~~Katharsis~~ Заблокирован
	10.10.2012, 10:48	7
	лог Malwarebytes' Anti-Malware не выложили 0

@~~Katharsis~~ Заблокирован
	10.10.2012, 18:11	9
	смените все пароли Мастер поиска и устранения проблем >> Internet Explorer - заблокирована настройка домашней страницы вами сделано? что с проблемой? 0

@als04 0 / 0 / 0 Регистрация: 08.10.2012 Сообщений: 5
	10.10.2012, 18:27 [ТС]	10
	С IE ничего не делал - не пользуюсь. Троян вроде не определяется (пользуюсь Nod32). Признаться честно, никогда не копал так глубоко! Что это я делал с компом с Вашей помощью даже не представляю. Низкий Вам поклон! 0

@~~Katharsis~~ Заблокирован
	10.10.2012, 18:36	11
	Сообщение от als04 С IE ничего не делал если хотите разблокировать - AVZ - файл - мастер поиска и устранения проблем - все проблемы. из списка найдите эту, нажмите "исправить" Рекомендации после удаления вредоносного ПО 0

Опции темы