santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна, прислал лог загрузки

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.11.2011 23:01:56

закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

Код
;uVS v3.72 BETA 4 script [http://dsrt.dyndns.org] addsgn 79132211B9EBA0B60CD4AE0BCDC81205AC1F840F76054CF110373E43AF80FA4187E783571D9F10188AC20DD2E29FC4168420175184F161A5A0935ED0388FAF0B 8 tr.Carberp zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl CFC119DDDB16815D13DA67C3473D4EE7 169984 delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE chklst delvir deltmp delnfr regt 5 regt 18 restart

Код


;uVS v3.72 BETA 4 script [http://dsrt.dyndns.org]

addsgn 79132211B9EBA0B60CD4AE0BCDC81205AC1F840F76054CF110373E43AF80FA4187E783571D9F10188AC20DD2E29FC4168420175184F161A5A0935ED0388FAF0B 8 tr.Carberp

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl CFC119DDDB16815D13DA67C3473D4EE7 169984
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
chklst
delvir
deltmp
delnfr
regt 5
regt 18
restart

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.11.2011 22:57:46

Цитата

Арвид пишет:

Цитата
santy пишет: проверю еще раз, но уже завтра, как ESS 5 на VM с ним будет сражаться

ну сейчас он никак не сражается, так как базы пусты) хочешь запустить вирус при отключенной защите, а потом включить ее? вряд ли справится

Про "сражаться" - добавил в шутку, конечно.

.
возможно поведение Carberp будет уже другое.
значит выходит, защита Есета обнаруживает в памяти процесс Carberp еще не имея сигнатуру этого файла.

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.11.2011 22:38:28

Цитата
Арвид пишет: судя по твоему скрину и общему размеру двух файлов - у тебя такой же. почему же они по разному работают?

да, такой же. из одного источника. 172 032. не знаю почему. Это как Zaccess всякий раз заражает разные известные системные драйвера.
---
и кстати, загрузка процессора была незначительная все время.
проверю еще раз, но уже завтра, как ESS 5 на VM с ним будет сражаться, если только за ночь файлик не попадет в базы ESET.

Изменено: santy - 21.11.2011 22:41:38

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.11.2011 22:36:08

и вот к вопросу о детектах других антивирусов
http://virusinfo.info/showthread.php?t=112712

Цитата
Касперский обнаружил заражение в папке Appdata - судя по всему, был основательно заражен Java. Антивирус все почистил, для пущей безопасности я удалил флэш и джаву. Сегодня Касперский поймал в Appdata/Roaming Trojan-Ransom.Win32.Cidox.aex. Вполне возможно, его поймали без меня (компьютером пользуемся вдвоем с мамой), либо же это какой-то хвост от того трояна? Пока все вроде бы тихо, но я уже ни в чем не могу быть уверен. Логи прилагаю. Сканирование AVZ проводил в сейф-мод, если это критично.

Цитата

Касперский обнаружил заражение в папке Appdata - судя по всему, был основательно заражен Java. Антивирус все почистил, для пущей безопасности я удалил флэш и джаву.
Сегодня Касперский поймал в Appdata/Roaming Trojan-Ransom.Win32.Cidox.aex. Вполне возможно, его поймали без меня (компьютером пользуемся вдвоем с мамой), либо же это какой-то хвост от того трояна? Пока все вроде бы тихо, но я уже ни в чем не могу быть уверен.

Логи прилагаю. Сканирование AVZ проводил в сейф-мод, если это критично.

ответ хелперов

Цитата
В данном случае это как раз очень кстати. В безопасном режиме выполните скрипт в AVZ: Код: begin QuarantineFile('C:\Users\Romm-Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\igfxtray.exe',''); DeleteFile('C:\Users\Romm-Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\igfxtray.exe'); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится.

Цитата

В данном случае это как раз очень кстати.

В безопасном режиме выполните скрипт в AVZ:
Код:

begin
QuarantineFile('C:\Users\Romm-Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\igfxtray.exe','');
DeleteFile('C:\Users\Romm-Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\igfxtray.exe');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Изменено: santy - 21.11.2011 22:39:47

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.11.2011 22:25:13

вот пожалуйста.
http://www.virustotal.com/file-scan/report.html?id=54885f961ac16d7656fe9fb725889c4223b005907302db62dff88bb6efa37195-1321899245
следует, заражение зарузочного сектора - тоже результат запуска трояна Carberp.

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.11.2011 22:20:54

Цитата
Арвид пишет: начинаю верить в эту антистелс технологию - файл появлялся во время скана в uVS. потом также неожиданно пропадал а бывает что в папке не появляется, но uVS в логе его показывает

--------
Арвид,
а вот еще один интересный факт
как я уже писал, при повторной перезагрузке uVS видел его в автозапуске, но фар уже не показывал его в папке автозапуска.
и закарантинить файл уже нельзя было.... он исчез....
---------
загрузился под Live.CD, в образе уже нет файлика Carberp.
но зато вижу, что IPL не проходит по списку безопасных uVS.
---
перегружаюсь обратно в систему, файлика уже нет в образе uVS, но зато IPL уже заражен, и попадает под детект сигнатур. rt.Cidox.

Цитата
Полное имя IPL NTFS [C:] Имя файла IPL NTFS [C:] Тек. статус ВИРУС загрузчик www.virustotal.com Хэш НЕ найден на сервере. Сохраненная информация на момент создания образа Статус загрузчик Размер 7680 байт Доп. информация на момент обновления списка SHA1 CF5DDB9F4755EF2B929AFB37324A178AD1A1059C

Цитата

Полное имя IPL NTFS [C:]
Имя файла IPL NTFS [C:]
Тек. статус ВИРУС загрузчик

www.virustotal.com Хэш НЕ найден на сервере.

Сохраненная информация на момент создания образа
Статус загрузчик
Размер 7680 байт

Доп. информация на момент обновления списка
SHA1 CF5DDB9F4755EF2B929AFB37324A178AD1A1059C

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Carberp.AF, очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.11.2011 22:01:51

сделайте скан в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память » explorer.exe(368) - модифицированный Win32/Carberp.A троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.11.2011 22:00:56

Код
;uVS v3.72 BETA 4 script [http://dsrt.dyndns.org] delall %SystemRoot%\APPPATCH\TIWVGXE.DAT delref HTTP://WEBALTA.RU fixvbr C: 5 delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU delref HTTP://WEBALTA.RU/POISK delall %SystemDrive%\PROGRAM FILES\VPETS\VPETS.EXE delref HTTP://WWW.SMAXI.NET deltmp delnfr delall %SystemDrive%\DOCUMENTS AND SETTINGS\ОБЩАГА\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL regt 5 regt 18 restart

Код

;uVS v3.72 BETA 4 script [http://dsrt.dyndns.org]

delall %SystemRoot%\APPPATCH\TIWVGXE.DAT
delref HTTP://WEBALTA.RU
fixvbr C: 5
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref HTTP://WEBALTA.RU/POISK
delall %SystemDrive%\PROGRAM FILES\VPETS\VPETS.EXE
delref HTTP://WWW.SMAXI.NET
deltmp
delnfr
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ОБЩАГА\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
regt 5
regt 18
restart

перезагрузка, пишем о старых и новых проблемах.

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.11.2011 21:29:28

Цитата
Арвид пишет: при запуске IGFXTRAY.EXE Нод говорит что меняется этот ключ реестра

значит через HIPS можно заблокировать его запуск

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.11.2011 21:27:33

а вот после перезагрузки системы,
он уже не виден в папке автозапуска даже при запущенном uVS.

[ Как создать образ автозапуска? ]

Перейти