модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа

ankur · 08.06.2012, 02:04

Поймал вирус " Оперативная память = explorer.exe(3108) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна"
переодически выскакивает, тормозит компьютер. цифры в скобках каждый раз меняются.
Прошу помощи (Kaspersky и Dr.Web не помогли..) самостоятельно не хватает ума.
Следуя инструкции сделал логи утилит

http://rghost.ru/38543414 (AVZ)
http://rghost.ru/38543431 (uVS)
http://rghost.ru/38543447 (RSIT)

Заранее спасибо

maksimog · 08.06.2012, 02:50

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код:

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

fixvbr C: 5
regt 1
regt 2
regt 3
regt 7
regt 18
deltmp
delnfr
restart

И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

ankur · 08.06.2012, 03:15

Скрипт выполнил, результат тот-же (только с другим номером).
ESET Smart Security находит в памяти -
Оперативная память = explorer.exe(452) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

safety · 08.06.2012, 06:54

Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.

ankur · 08.06.2012, 12:07

http://zalil.ru/33409150

safety · 08.06.2012, 12:28

новый образ автозапуска сделайте, лучше в безопасном режиме
+
лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

Vvvyg · 08.06.2012, 12:47

Пару раз попадалось ложное срабатывание Nod32 по Carberp.AF когда эвристика была на максимум выкручена. Здесь даже папок сопутствующих не видно, так что, имхо, может быть фолс...

safety · 08.06.2012, 13:06

не похоже на фолс, бутовый Carberp точно был
https://www.virustotal.com/file/4ea1...a0c1/analysis/
возможно, maksimog прибил его скриптом, и до tdsskiller очередь не дошла

Vvvyg · 08.06.2012, 13:14

Тогда да, я не заметил в образе, потом оказалось, что у меня этот хэш почему-то в проверенных был.

ankur · 08.06.2012, 13:45

Сделал новый образ автозапуска в безопасном режиме
http://zalil.ru/upload/33409826
+
лог журнала обнаружения угроз
http://zalil.ru/upload/33409835

safety · 08.06.2012, 14:08

хм, похоже ни uVS не справился со бутовым Карберп (что вообщем не удивительно), а tdsskiller его даже не обнаружил.
-----------

Цитата:

Полное имя IPL NTFS [C:]
Имя файла IPL NTFS [C:]
Тек. статус ?ВИРУС? ВИРУС загрузчик

www.virustotal.com 2012-06-06 [2012-06-06 20:08:56 UTC ( 1 day, 12 hours ago )]
BitDefender Rootkit.MBR.Mayachok.B
AntiVir BOO/Cidox.A

добавьте логи выполнения скрипта - они в папке uVS. имя файла логов смотрите по шаблону дата_времяlog.txt

да, судя по журналу, Карберп на месте сидит

Цитата:

08.06.2012 11:49:30 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(568) вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна MICROSOF-6D1E5A\AK
08.06.2012 2:09:58 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(452) вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна MICROSOF-6D1E5A\AK
08.06.2012 2:04:47 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(472) вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна MICROSOF-6D1E5A\AK

если tdsskiller не бьет его (это вообщем, новость), придется лечиться из под Winpe&uVS.

safety · 08.06.2012, 14:13

как создать образ автозапуска из под Winpe&uVS
http://pchelpforum.ru/f26/t18538/#post124809

---------
скачать можно отсюда
http://www.wuala.com/al_1963/Документы/avirus/WinPe&uVS

ankur · 09.06.2012, 19:49

Создал образ автозапуска из под Winpe&uVS
http://zalil.ru/33417868

Vvvyg · 09.06.2012, 20:01

ankur, в меню "Руткиты" -> "заменить загрузчик MBR/VBR+IPL..." выбираете VBR NTFS [C:], внизу точку ставите на Загрузчик w2k/XP/w2k3 [NT5.x] и "Записать".
Перезагрузка, новый образ автозапуска для контроля.

ankur · 09.06.2012, 20:05

В рекомендациях Winpe&uVS было указано создать новую тему.
Создал.
По прежнему жду помощи

08.06.2012, 02:04	#1 (ссылка)
ankur Новичок Регистрация: 07.06.2012 Сообщений: 10 Репутация: 0	модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа Поймал вирус " Оперативная память = explorer.exe(3108) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна" переодически выскакивает, тормозит компьютер. цифры в скобках каждый раз меняются. Прошу помощи (Kaspersky и Dr.Web не помогли..) самостоятельно не хватает ума. Следуя инструкции сделал логи утилит http://rghost.ru/38543414 (AVZ) http://rghost.ru/38543431 (uVS) http://rghost.ru/38543447 (RSIT) Заранее спасибо

08.06.2012, 02:50	#2 (ссылка)
maksimog Мастер Регистрация: 08.07.2011 Сообщений: 6,292 Репутация: 631	В папке с программой UVS будет файл script.cmd Запустить файл, запустится окно программы для ввода скрипта, скопировать скрипт написанный ниже и вставить в окно программы. ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ! Код: ;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 fixvbr C: 5 regt 1 regt 2 regt 3 regt 7 regt 18 deltmp delnfr restart И жмем кнопку Выполнить. На запросы программы по удалению жмите ДА ПК перезагрузится.

08.06.2012, 03:15	#3 (ссылка)
ankur Новичок Регистрация: 07.06.2012 Сообщений: 10 Репутация: 0	Скрипт выполнил результат тот-же Скрипт выполнил, результат тот-же (только с другим номером). ESET Smart Security находит в памяти - Оперативная память = explorer.exe(452) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

08.06.2012, 12:07	#5 (ссылка)
ankur Новичок Регистрация: 07.06.2012 Сообщений: 10 Репутация: 0	Проверка TDSSKiller http://zalil.ru/33409150

08.06.2012, 13:45	#10 (ссылка)
ankur Новичок Регистрация: 07.06.2012 Сообщений: 10 Репутация: 0	Сделал новый образ автозапуска.... Сделал новый образ автозапуска в безопасном режиме http://zalil.ru/upload/33409826 + лог журнала обнаружения угроз http://zalil.ru/upload/33409835

08.06.2012, 06:54	#4 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	Скачайте, распакуйте и запустите TDSSKiller: http://support.kaspersky.ru/faq/?qid=208636926 Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его. Файл C:\TDSSKiller.*_log.txt приложите в теме. (где * - версия программы, дата и время запуска.

08.06.2012, 12:28	#6 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	новый образ автозапуска сделайте, лучше в безопасном режиме + лог журнала обнаружения угроз http://forum.esetnod32.ru/forum9/topic1408/

08.06.2012, 12:47	#7 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Пару раз попадалось ложное срабатывание Nod32 по Carberp.AF когда эвристика была на максимум выкручена. Здесь даже папок сопутствующих не видно, так что, имхо, может быть фолс...

08.06.2012, 13:06	#8 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	не похоже на фолс, бутовый Carberp точно был https://www.virustotal.com/file/4ea1...a0c1/analysis/ возможно, maksimog прибил его скриптом, и до tdsskiller очередь не дошла

08.06.2012, 13:14	#9 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Тогда да, я не заметил в образе, потом оказалось, что у меня этот хэш почему-то в проверенных был.

08.06.2012, 14:13	#12 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	как создать образ автозапуска из под Winpe&uVS http://pchelpforum.ru/f26/t18538/#post124809 --------- скачать можно отсюда http://www.wuala.com/al_1963/Документы/avirus/WinPe&uVS

09.06.2012, 19:49	#13 (ссылка)
ankur Новичок Регистрация: 07.06.2012 Сообщений: 10 Репутация: 0	Создал образ автозапуска из под Winpe&uVS Создал образ автозапуска из под Winpe&uVS http://zalil.ru/33417868

09.06.2012, 20:01	#14 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	ankur, в меню "Руткиты" -> "заменить загрузчик MBR/VBR+IPL..." выбираете VBR NTFS [C:], внизу точку ставите на Загрузчик w2k/XP/w2k3 [NT5.x] и "Записать". Перезагрузка, новый образ автозапуска для контроля.

09.06.2012, 20:05	#15 (ссылка)
ankur Новичок Регистрация: 07.06.2012 Сообщений: 10 Репутация: 0	Перенес в новую тему В рекомендациях Winpe&uVS было указано создать новую тему. Создал. По прежнему жду помощи

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа	San163	Безопасность	2	28.03.2012 15:34
модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа	EriQ	Безопасность	8	29.01.2012 19:32
модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа	Ash	Безопасность	4	23.12.2011 18:01
модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа	natadasha	Безопасность	4	05.12.2011 10:06
модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа	Benz_600	Безопасность	10	24.11.2011 11:55