Carberp.AF - Форум технической поддержки ESET NOD32

Сообщений: 16

Баллов: 8

Регистрация: 12.02.2012

Размещено 27.02.2012 06:42:45

Поймал этого зверька, весьма популярен как вижу. Лог прилагаю.

Прикрепленные файлы

MICROSOF-F9B5AE_2012-02-27_06-28-03.7z (163.37 КБ)

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 27.02.2012 06:52:26

Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!

Код
;;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZRXRMOGWDV8.EXE bl DE337CE9DB20F0F12FAEA1E56023508F 159232 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZRXRMOGWDV8.EXE deltmp delnfr czoo restart

Код

;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZRXRMOGWDV8.EXE
bl DE337CE9DB20F0F12FAEA1E56023508F 159232
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZRXRMOGWDV8.EXE
deltmp
delnfr
czoo
restart

И жмем Выполнить. После выполнения скрипта - ПК перезагрузится.
В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес [email protected]. Если архив не появился, то сами архивируем папку ZOO, ставим пароль virus и отправляем на адрес.
После перезагрузки сделать лог Malwarebytes и выложить сюда. Можно сделать быструю проверку, а не полную.

Правильно заданный вопрос - это уже половина ответа

Сообщений: 16

Баллов: 8

Регистрация: 12.02.2012

Размещено 27.02.2012 07:13:23

Лог. Диспетчер задач появляется обрезанным, тоесть без шапки. Что делать?

Извиняюсь, восстановил. Видимо мозг еще спит

Прикрепленные файлы

mbam-log-2012-02-27 (07-12-26).txt (2.46 КБ)

Изменено: Shkilet - 27.02.2012 07:16:54

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.02.2012 07:19:43

это удалите в МБАМ

Цитата
Обнаруженные файлы: 1 C:\Documents and Settings\Admin\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.

далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Сообщений: 16

Баллов: 8

Регистрация: 12.02.2012

Размещено 27.02.2012 20:10:31

Хмм, пришел с работы вижу в процессах svchost.exe кушает 100% процессов.Выключаю процесс запускается снова. Какие логи нужны еще?

Изменено: Shkilet - 27.02.2012 20:12:30

Сообщений: 16

Баллов: 8

Регистрация: 12.02.2012

Размещено 27.02.2012 20:32:07

вообщем вот мбам

Прикрепленные файлы

mbam-log-2012-02-27 (20-31-11).txt (2.96 КБ)

Сообщений: 16

Баллов: 8

Регистрация: 12.02.2012

Размещено 27.02.2012 20:38:29

а вот и uVS

Прикрепленные файлы

MICROSOF-F9B5AE_2012-02-27_20-33-41.7z (167.51 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.02.2012 21:28:55

еще значит пролечиваем комп
----------------------------
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn A7679B1BB9CA4C720B3C929B64C878574F34966C61AC3078854001B003BCCF26697FC3DB3429F54978835077843A49FAFE1BF81A55DD8F9445775086CD6CC19B 8 tr.Carberp zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZRXRMOGWDV8.EXE bl 4858E640B8696ECF4DB35855A382EA39 155136 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZRXRMOGWDV8.EXE chklst delvir delref HTTP://NIGHTWAREZ.RU/ deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn A7679B1BB9CA4C720B3C929B64C878574F34966C61AC3078854001B003BCCF26697FC3DB3429F54978835077843A49FAFE1BF81A55DD8F9445775086CD6CC19B 8 tr.Carberp

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZRXRMOGWDV8.EXE
bl 4858E640B8696ECF4DB35855A382EA39 155136
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZRXRMOGWDV8.EXE
chklst
delvir
delref HTTP://NIGHTWAREZ.RU/
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Сообщений: 16

Баллов: 8

Регистрация: 12.02.2012

Размещено 27.02.2012 21:29:39

Перезагрузил комп, снова Carberp. Как это возможно? после нашей очитски он не работал

Сообщений: 16

Баллов: 8

Регистрация: 12.02.2012

Размещено 27.02.2012 21:30:40

Сейчас выполню

[ Закрыто ] Carberp.AF