Вирус Carberp.AF - Форум технической поддержки ESET NOD32

Сообщений: 2

Баллов: 1

Регистрация: 17.09.2012

Размещено 17.09.2012 23:58:20

Добрый вечер. Помогите, пожалуйста. Антивирус Eset smart security обнаружил у меня "вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа". Очистка невозможна. Стала смотреть автозагрузку. Подозрение пало на jsbVZa6NvIg. Адрес указан следующий: C:\Documents and Settings\Alexey\Главное меню\Программы\Автозагрузка\jsbVZa6NvIg.exe. Расположение: Startup. Галочку убрала. При перезагрузке она без галочки, зато запускается идентичная программа. У новенькой сколько не убирай галочку, вновь присутствует после перезагрузки. В папке Автозагрузки программа не видна, через "найти" нашла ее и еще две с таким же именем, те две удалила, эта не удаляется и не переименовывается. Хотела сделать восстановление системы. Заблокировано групповой политикой. Отключила в регистре блокировку, перезагрузила. Восстановление запускается, но точка только одна - сегодняшняя. Помогите, пожалуйста, интернет на том компе запускает только несколько сайтов, ваш форум не запускает, тормозит, одолжила ноут для решения проблемы.

Прикрепленные файлы

IP4-3000HT_2012-09-17_23-43-56.7z (180.8 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 18.09.2012 00:30:50

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 exec "C:\PROGRAM FILES\MCAFEE SECURITY SCAN\UNINSTALL.EXE" exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL addsgn A7679B1BB96A4D720B5FBB414C8A128CB0A2030976A91EEDAD3C3A43066C5E4C231748DA16AA62B62852BF553300C27F5520178D7E1BB1B905885BD0C4C623F6 8 Carb.exe+Dll.Vir addsgn A7679B19B93A264863D4F86BE520A829258A7F328112B85685C396D450283C6D4B17E1F06BBD306F2B80075B4EFEC6D47DDFBEFB101AE7176887D03E4C43E219 64 Dll.Vir.Application data delref HTTP://HOME.SWEETIM.COM/?ST=1&BARID={620F8190-38F2-11E1-9AF9-00304F1BE1FD} zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALEXEY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\JSBVZA6NVIG.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS\APPLICATION DATA\ATPYYZXTNZYLC.DLL czoo bl FC39EF544A9DB33BC52432EB75477F5A 137728 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALEXEY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\JSBVZA6NVIG.EXE bl 26B45C51191EA402A078C5B0211A82B7 95232 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS\APPLICATION DATA\ATPYYZXTNZYLC.DLL regt 1 regt 2 regt 3 regt 18 regt 24 chklst delvir deltmp delnfr restart

Код

             
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

exec "C:\PROGRAM FILES\MCAFEE SECURITY SCAN\UNINSTALL.EXE"
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
addsgn A7679B1BB96A4D720B5FBB414C8A128CB0A2030976A91EEDAD3C3A43066C5E4C231748DA16AA62B62852BF553300C27F5520178D7E1BB1B905885BD0C4C623F6 8 Carb.exe+Dll.Vir

addsgn A7679B19B93A264863D4F86BE520A829258A7F328112B85685C396D450283C6D4B17E1F06BBD306F2B80075B4EFEC6D47DDFBEFB101AE7176887D03E4C43E219 64 Dll.Vir.Application data

delref HTTP://HOME.SWEETIM.COM/?ST=1&BARID={620F8190-38F2-11E1-9AF9-00304F1BE1FD}

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALEXEY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\JSBVZA6NVIG.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS\APPLICATION DATA\ATPYYZXTNZYLC.DLL
czoo
bl FC39EF544A9DB33BC52432EB75477F5A 137728
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALEXEY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\JSBVZA6NVIG.EXE
bl 26B45C51191EA402A078C5B0211A82B7 95232
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS\APPLICATION DATA\ATPYYZXTNZYLC.DLL
regt 1
regt 2
regt 3
regt 18
regt 24
chklst
delvir
deltmp
delnfr
restart

-------------
Архив из папки uVS; (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: ZOO_2012-00-20_18-49-40.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
+
Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.

Изменено: RP55 RP55 - 18.09.2012 00:33:19

Сообщений: 17972

Баллов: 28754

Регистрация: 16.03.2010

Размещено 18.09.2012 05:35:29

здесь скорее всего нужен будет netsh winsock

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 17.09.2012

Размещено 19.09.2012 23:10:13

Спасибо большое за помощь RP55 RP55 и santy. Вначале последовала первому совету, проверила Malwarebytes. Прилагаю после выполнения скрипта логи (быстрая проверка), после полной проверки и очистки, и сделанной только что быстрой проверки.
Интернет был недоступен по-прежнему после первой быстрой проверки, но указанный выше netsh winsock reset в командной строке восстановил его (конкретно ip-шник). Огромное человеческое спасибо!!!

Прикрепленные файлы

mbam-log-2012-09-18 (02-50-11).txt (3.46 КБ)
mbam-log-2012-09-18 (01-49-42).txt (4.24 КБ)
mbam-log-2012-09-19 (22-44-39).txt (2.09 КБ)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 19.09.2012 23:38:04

Если проблемы более нет,

Далее выполните наши рекомендации пользователям
http://forum.esetnod32.ru/forum9/topic3998/

[ Закрыто ] Вирус Carberp.AF