модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна

Сообщений: 6

Баллов: 3

Регистрация: 22.02.2012

Размещено 22.02.2012 11:51:00

Логи uVS прилагаю

Прикрепленные файлы

MYCOMP_2012-02-22_11-43-58.rar (182.71 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.02.2012 12:09:01

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn A7679B19B906F5A40BD4AEDB18A21D6F276265D989FA9CBC89A9B8D4504BD8DE49E7A989D60BBA492B03408F15AE61AF7DDF8072F7D4F046581D5845F1EE4F5C 8 TrojanDownloader.Carberp.AH [NOD32] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\OK4RUNM5RPY.EXE bl CE6010497DF3C82F3F92DA0FAA90E1E6 185856 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\OK4RUNM5RPY.EXE chklst delvir deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]   
;Target OS: NTv5.1

addsgn A7679B19B906F5A40BD4AEDB18A21D6F276265D989FA9CBC89A9B8D4504BD8DE49E7A989D60BBA492B03408F15AE61AF7DDF8072F7D4F046581D5845F1EE4F5C 8 TrojanDownloader.Carberp.AH [NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\OK4RUNM5RPY.EXE
bl CE6010497DF3C82F3F92DA0FAA90E1E6 185856
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\OK4RUNM5RPY.EXE
chklst
delvir
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 22.02.2012

Размещено 24.02.2012 08:50:28

Теперь NOD32 пишет "Оперативная память » explorer.exe(364) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна".

Прикрепленные файлы

MYCOMP_2012-02-24_08-46-10.rar (184.4 КБ)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 24.02.2012 13:20:40

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 fixvbr C: 5 regt 1 regt 2 regt 3 regt 7 regt 18 deltmp delnfr restart

И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа

Сообщений: 6

Баллов: 3

Регистрация: 22.02.2012

Размещено 24.02.2012 14:31:23

Сделал все по инструкции. Скрипт прогонял как с включенным нод32, так и с отключенным. Кстати скрипт никаких запросов, на которые необходимо отвечать, не выдавал. Просто что-то поделал, потом комп на рестарт ушел.
В результате все то же:
"Оперативная память » explorer.exe(484) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна".
Лог МВАМ прилагаю

Прикрепленные файлы

mbam-log-2012-02-24 (14-19-12).txt (2.08 КБ)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 24.02.2012 14:34:01

ВОт такой лог выполните
http://pchelpforum.ru/showpost.php?p=775956&postcount=13

Сообщений: 6

Баллов: 3

Регистрация: 22.02.2012

Размещено 24.02.2012 14:56:41

Большое спасибо. Теперь NOD32 пишет, что все чисто. Прилагаю лог вышеупомянутого "скрипта" и лог MBAM

Прикрепленные файлы

TDSSKiller.2.7.14.0_24.02.2012_14.46.09_log.txt (43.57 КБ)
mbam-log-2012-02-24 (14-48-34).txt (2.08 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.02.2012 15:02:43

ZloyDi, верное решение,
это модифицированный бутовый вариант Carberp/Cidox/Majachok
https://www.virustotal.com/file/93672673b8ca1c13d9fda122c9e7afc1112f24e5a53f4df030204e062208bf60/analysis/1330081113/

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.02.2012 15:04:38

все должно быть ок.

Цитата
14:47:04.0140 1792 \Device\Harddisk0\DR0\# - copied to quarantine 14:47:04.0140 1792 \Device\Harddisk0\DR0 - copied to quarantine 14:47:04.0140 1792 \Device\Harddisk0\DR0 ( Rootkit.Win32.BackBoot.gen ) - User select action: Quarantine 14:47:04.0140 1792 \Device\Harddisk0\DR0\Partition0 - copied to quarantine 14:47:04.0140 1792 \Device\Harddisk0\DR0\Partition0 ( Rootkit.Boot.Cidox.b ) - will be cured on reboot 14:47:04.0140 1792 \Device\Harddisk0\DR0\Partition0 - ok 14:47:04.0140 1792 \Device\Harddisk0\DR0\Partition0 ( Rootkit.Boot.Cidox.b ) - User select action: Cure

Цитата

14:47:04.0140 1792 \Device\Harddisk0\DR0\# - copied to quarantine
14:47:04.0140 1792 \Device\Harddisk0\DR0 - copied to quarantine
14:47:04.0140 1792 \Device\Harddisk0\DR0 ( Rootkit.Win32.BackBoot.gen ) - User select action: Quarantine
14:47:04.0140 1792 \Device\Harddisk0\DR0\Partition0 - copied to quarantine
14:47:04.0140 1792 \Device\Harddisk0\DR0\Partition0 ( Rootkit.Boot.Cidox.b ) - will be cured on reboot
14:47:04.0140 1792 \Device\Harddisk0\DR0\Partition0 - ok
14:47:04.0140 1792 \Device\Harddisk0\DR0\Partition0 ( Rootkit.Boot.Cidox.b ) - User select action: Cure

сделайте повторный лог tdsskiller.

[ Как создать образ автозапуска? ]

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 24.02.2012 15:11:48

Пришлите файл карантина на указаный выше адрес [email protected]

[ Закрыто ] модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна , Подскажите, пожалуйста что делать?