Решена - Вероятно модифицированный Win32/TrojanDownloader.Carberp.AD

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем DeadlySaint, 26 апр 2012.

  1. DeadlySaint

    DeadlySaint Newbie

    Здравствуйте!
    Недели две назад гулял по просторам интернета, искал плагины для сервера КС 1.6. На одном из сайтов словил баннер, который требует отправку смс... Многократным нажатием клавиши, вызывающей меню "Пуск" и кнопки в правом нижнем углу экрана, которая сворачивает все окна, умудрился свернуть баннер. После этого запустил DrWeb CureIT! Вроде как с баннером он разобрался.
    После этого, однако, появились странности. NOD32 при каждом запуске системы выдает сообщение: "Объект: Оперативная память = explorer.exe (2488). Угроза: Вероятно модифицированный Win32/TrojanDownloader.Carberp.AD. Информация: очистка невозможна". Более того, перестали запускаться многие программы. Например, КонсультантПлюс перестал запускаться с ключом /ADM, также отказывается запускаться IE (иногда по надобности его использую). NOD32, в свою очередь, отказывается обновляться, ссылаясь на то, что имеет место "Ошибка распаковки файла".
    Помогите, плиз.
    http://ifolder.ru/30150917 - UVS
    http://ifolder.ru/30150918 - hijackthis.log
    http://ifolder.ru/30150919 - AVZ
     
  2. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Здравствуйте!

    Выполните следующий скрипт в uVS:
    - запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
    - копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
    Код:
    ;;uVS v3.75 BETA1 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    delref HTTP://QIP.RU
    delref HTTP://SEARCH.QIP.RU
    delref HTTP://VKONTAKTE.RU/DEADLY_SAINT
    addsgn A7679B19B946C55FAFD7EDB104370719D5C8FC7FCC0A773584C3C54345DE810E237F8E563E55625C2370C69F2E5B48FA7D20FD7AA598B0446076A42F38132A83 8 Carberp
    zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\5LMY6TQ3Q.EXE
    bl 63452ABA056A16A807D374A99FDE4B8B 201824
    addsgn 4B11129A553FC79E8838A2762130D0EAD7870B264EBFE7BB6A31C81DA8A0354C822317133E68FE2966CE439ACE5209FA4B81E8725A5FBA2C2D77632AF3D26673 8 Carberp
    zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\OGQYK3WBDSA.EXE
    bl 483F070C1995A5C996C4F6698F2C4CE8 174592
    adddir %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP
    chklst
    delvir
    deltmp
    delnfr
    exec cmd /k attrib -r -s -h "%appdata%\igfxtray.dat"&del "%appdata%\igfxtray.dat"&exit
    exec cmd /k del "%windir%\system32\ieunitdrf.inf"&exit
    czoo
    restart
    - затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
    - скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
    - обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
    - ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
    - по окончанию выполнения скрипта компьютер перезагрузится;
    - в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, закачиваем этот архив на файлообменник - rghost.ru и оставляем ссылку на этот архив в этой теме.
    - после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда.

    Если форум оказался полезен вам, пожалуйста, поддержите его работу -
     
  3. DeadlySaint

    DeadlySaint Newbie

    http://ifolder.ru/30156258 - ссылка на архив с вирусами. Прошу прощения, что не на rghost - Mbam заблокировал этот адрес как вредоносный интернет-ресурс.
    Выкладывать лог Mbam, скорее всего, нецелесообразно, так как во время сканирования вредоносных объектов не обнаружено.
    На этом лечение можно считать законченным?
    Во всяком случае огромное спасибо! Консультант теперь запускается без проблем.
    ====================
    Однако проблема с обновлением Nod32 Smart Security не разрешена =(
     
    Последнее редактирование: 26 апр 2012
  4. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Ну если ничего не нашел, значит уже чисто.
    В антивирус выполнить это:
    [​IMG]

    Если проблема решена, то:
    При наличии на ПК доступа в интернет выполните следующий скрипт в AVZ:
    Код:
    begin
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
     If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
     Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
    ExitAVZ;
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.

    Если форум оказался полезен вам, пожалуйста, поддержите его работу -
     
  5. DeadlySaint

    DeadlySaint Newbie

    Спасибо огромное! проблема с антивирусом решена.
    Единственная уязвимости были найдены в Sun Java JDK и JRE. Следую требованиям, которые установлены в логе. Огромное спасибо еще раз.
     

Поделиться этой страницей