[ Закрыто ] Win32/TrojanDownloader.Carberp.AD , Обнаружен вирус в памяти компьютера

EAV-30714840

Сначала возникла проблема при обновлении - 0% индикатор и не двигался при этом высокая загрузка процессора 100%

После перезагрузки обновление успешно прошло и антивирус нашел в памяти вирус Win32/TrojanDownloader.Carberp.AD - очистка невозможна.

Затем я нашел подозрительный скрытый файл "%userprofile%\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE" и послал его к вам через форму средствами самого антивируса. Что интересно антивирус на него никак не среагировал, хотя virustotal.com показал 10 совпадений со статусом malware.

Запустил создание лога на удаленной машине средствами SysInspector установленного антивируса. Процесс шел очень долго (началось в 16:24)поэтому через удаленный запуск uVS удалил подозрительный файл и все ссылки на него. Еще убрал тулбары из IE. Средствами антивируса на компе не удалось завершить создание лога sysinspector, запустил отдельно скаченный, он тоже тормозил, но потом все-таки завершил, вот прилагаю журнал.
Изменено: amd2011 - 11.10.2011 20:27:35
c:\windows\svchost.exe вот подозрительный проверь на вирустотал
Изменено: sanek922 - 11.10.2011 20:40:03
Цитата
sanek922 пишет:
c:\windows\svchost.exe вот подозрительный проверь на вирустотал

Это: not-a-virus:RemoteAdmin.Win32.RAdmin.20

http://www.virustotal.com/file-scan/report.html?id=0425a758ee783e178f0e3259cd07f7ba41f6fcca1146631636613d247­809345b-1317638879

Для эффективной проверки нужен
лог программы uVS
http://forum.esetnod32.ru/forum9/topic683/
если необходимо проверить систему, то сделайте образ автозапуска в uVS, +лог малваребайт,
-------
я так понимаю, что вы самостоятельно все пролечили.
Изменено: santy - 12.10.2011 08:39:24
Цитата
RP55 RP55 пишет:
Цитата
sanek922 пишет:

c:\windows\svchost.exe вот подозрительный проверь на вирустотал



Это: not-a-virus:RemoteAdmin.Win32.RAdmin.20



http://www.virustotal.com/file-scan/r...1317638879



Для эффективной проверки нужен

лог программы uVS

http://forum.esetnod32.ru/forum9/topic683/
лог uVS
закрыть браузер перед выполнением скипта.
выполнить скрипт в uVS из буфера обмена.
Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

delall %SystemDrive%\DOCUMENTS AND SETTINGS\KURYNDINA\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
delref HTTP://SEARCH.QIP.RU
delref HTTP://SMS/
delref HTTP://WWW.MRSK-1.RU
deltmp
delnfr
regt 5
regt 18
restart
после перезагрузки сделайте лог малваребайт
http://forum.esetnod32.ru/forum9/topic682/

Carberp я так понимаю вы самостоятельно удалили.
Изменено: santy - 12.10.2011 08:46:45
Цитата
santy пишет:
закрыть браузер перед выполнением скипта.

выполнить скрипт в uVS  из буфера обмена .

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]



delall %SystemDrive%\DOCUMENTS AND SETTINGS\KURYNDINA\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL

delref HTTP://SEARCH.QIP.RU

delref HTTP://SMS/

delref HTTP://WWW.MRSK-1.RU

deltmp

delnfr

regt 5

regt 18

restart

после перезагрузки сделайте лог малваребайт

http://forum.esetnod32.ru/forum9/topic682/



Carberp я так понимаю вы самостоятельно удалили.

Если имеется ввиду  файл %userprofile%\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE, то да, так ночная проверка нодом,нашла еще вот это:
C:\Program Files\pchd\PCHDPlayer.dll - модифицированный Win32/PornTool.PCHDPlay.A потенциально опасная программа - удален - изолирован
А так больше ничего.
Лог малваребайт готов.
по логу малваребайт:
удалите все, кроме тех файлов и объектов что принадлежат радмину.
-----
но вообще говоря, я бы переустановил нормальный радмин 2.2
Цитата
santy пишет:
по логу малваребайт:

удалите все, кроме тех файлов и объектов что принадлежат радмину.

-----

но вообще говоря, я бы переустановил нормальный радмин 2.2

Удалил все кроме радмина.
Зачем? Есть подозрение, что он заражен?
Еще что-то нужно?
Выкладываю лог uVS
Читают тему (гостей: 1)