[ Закрыто ] Помогите с TrojanDownloader.Carber.AF

RSS

Сообщений: 23

Баллов: 11

Регистрация: 27.06.2012

Размещено 27.06.2012 20:33:15

Поймал TrojanDownloa
der.Carber.AF explorer.exe(2424). Блокировал все браузеры. Пишу с КПК:)

Ответы

Пред. 1 2 3 4 След.

Сообщений: 23

Баллов: 11

Регистрация: 27.06.2012

Размещено 28.06.2012 19:39:49

через несколько минут будет лог nod32

Сообщений: 23

Баллов: 11

Регистрация: 27.06.2012

Размещено 28.06.2012 19:45:03

собственно говоря вот они!

Прикрепленные файлы

1.txt (56.78 КБ)
2.txt (56.78 КБ)
3.txt (56.78 КБ)

Сообщений: 23

Баллов: 11

Регистрация: 27.06.2012

Размещено 28.06.2012 19:58:31

еще лог!

Прикрепленные файлы

USER_2012-06-28_21-52-45.7z (235.04 КБ)

Сообщений: 23

Баллов: 11

Регистрация: 27.06.2012

Размещено 28.06.2012 20:00:57

друзья! что делать?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.06.2012 20:24:35

судя по логу -последняя угроза была вчера

Цитата
27.06.2012 23:18:05 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(1280) вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна USER\Заремская Ольга

сейчас проверим образ в безопасном режиме

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.06.2012 20:28:07

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 setdns Беспроводное сетевое соединение 2\4\{BD1269B2-0A84-4694-926A-94B66F7E862B}\ setdns Беспроводное сетевое соединение\4\{1A0460C7-19F3-431A-A08F-E7E49947C64C}\ setdns Подключение по локальной сети 2\4\{59D6514D-7146-4E9C-9FC2-351B98C7FFE8}\ setdns Подключение по локальной сети\4\{E5093161-6BF4-4FAC-9701-035BD75AD76F}\ delref HTTP://WWW.ASK.COM?O=10148&L=DIS&TB=CLM deltmp delnfr exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK_RFRLETITBIT2_S_MPCLN9514.EXE UNINSTALL EXEC cmd /c"netsh winsock reset catalog" restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
setdns Беспроводное сетевое соединение 2\4\{BD1269B2-0A84-4694-926A-94B66F7E862B}\
setdns Беспроводное сетевое соединение\4\{1A0460C7-19F3-431A-A08F-E7E49947C64C}\
setdns Подключение по локальной сети 2\4\{59D6514D-7146-4E9C-9FC2-351B98C7FFE8}\
setdns Подключение по локальной сети\4\{E5093161-6BF4-4FAC-9701-035BD75AD76F}\
delref HTTP://WWW.ASK.COM?O=10148&L=DIS&TB=CLM
deltmp
delnfr
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK_RFRLETITBIT2_S_MPCLN9514.EXE UNINSTALL
EXEC cmd /c"netsh winsock reset catalog"
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.06.2012 20:29:49

+
сделайте образ в безопасном режиме
+
выполните сканирование в ESET NOD32 только оперативной памяти
лог сканирования добавить на форум

[ Как создать образ автозапуска? ]

Сообщений: 23

Баллов: 11

Регистрация: 27.06.2012

Размещено 28.06.2012 21:02:47

файл zoo ... направил. счас сделаю malwar... лог.

Сообщений: 23

Баллов: 11

Регистрация: 27.06.2012

Размещено 28.06.2012 21:04:23

вопрос - удалять файлы, если спрашивает malwar...?

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 28.06.2012 21:09:17

Лог сюда запостить, чтобы мы его проверили.

Пред. 1 2 3 4 След.