Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Очередной Win32/TrojanDownloader.Carberp.AD + Win32/Qhost.PES

1
RSS
 
Mitlond
Mitlond
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 09.02.2012
Размещено 29.02.2012 10:24:54
Добрый день.
Как и многих других посетителей форума за последние пару дней, не обошла и меня стороной беда Carberp'a. Стандартно, антивирус выдаёт сообщения типа "Оперативная память » explorer.exe(504) модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна".
Плюсом к этому снова объявилась проблема в виде Win32/Qhost.PES при каждой загрузке системы по адресу D:\Windows\System32\drivers\etc\hosts - Win32/Qhost.PES.

Прикрепляю лог uVS, надеюсь на вашу помощь.
 
santy
santy
Администратор
Сообщений: 17973
Баллов: 28756
Регистрация: 16.03.2010
Размещено 29.02.2012 10:38:53
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.74 script [http://dsrt.dyndns.org]   
;Target OS: NTv5.1

addsgn 988C1FBA272A4C9A45D0AEB1DB5C120525013B1E0F05E0870CA62D37A45F4F1ADC0247277E5516073B09899BFE5649713BDB4B62ED9AB0A77B7F2D3AD3BE6273 8 tr.Carberp

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\Y\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\8JEJE695UHO.EXE
bl 92C7797883EF65ADBDE768708EFC5D39 325145
delall %SystemDrive%\DOCUMENTS AND SETTINGS\Y\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\8JEJE695UHO.EXE
chklst
delvir
delall %SystemRoot%\TEMP\GQEXD.BAT
deltmp
delnfr
regt 14
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[ Как создать образ автозапуска? ]
 
Mitlond
Mitlond
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 09.02.2012
Размещено 29.02.2012 11:58:03
Malwarebytes показала наличие одного заражённого объекта, удалил его. На всякий случай всё же прикреплю лог.
Антивирус никаких предупреждений после перезагрузки не показывал.
Однако появившаяся вместе с вирусами в корневом каталоге самовосстанавливающаяся папка DsgEBacjBc6fNSA и содержащийся в ней файл klpclst.dat остались. Её нужно снова попробовать удалять вручную?
Ещё есть один вопрос: вчера, пытаясь как-то справиться с вирусом, удалил из автозагрузки файл igfxtray.exe, а сегодня, просматривая диспетчер задач, заметил несколько процессов с похожими названиями: igfxsrvc.exe, igfxpers.exe. При этом последний тоже висит в списке автозагрузки системы под именем Persistence. Кроме этого, в списке процессов значится ранее не находившийся там, насколько я помню, RtkBtMnt.exe. Собственно, вопрос в том, стоит ли мне беспокоиться, так как я читал, что это тоже могут быть вирусы?
 
santy
santy
Администратор
Сообщений: 17973
Баллов: 28756
Регистрация: 16.03.2010
Размещено 29.02.2012 12:52:50
Цитата
Однако появившаяся вместе с вирусами в корневом каталоге самовосстанавливающаяся папка DsgEBacjBc6fNSA и содержащийся в ней файл klpclst.dat остались. Её нужно снова попробовать удалять вручную?
да, эту папку можно удалить руками, она уже не восстановится в этот раз.
Цитата
Ещё есть один вопрос: вчера, пытаясь как-то справиться с вирусом, удалил из автозагрузки файл igfxtray.exe, а сегодня, просматривая диспетчер задач, заметил несколько процессов с похожими названиями: igfxsrvc.exe, igfxpers.exe.
это как раз нормальные файлы, под которые ранее маскировался Carberp.
------
далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
 
1
Читают тему