КАРТА САЙТА
Sibnet.ru
Sibnet.ru

Sibnet.ru — это информационно-развлекательный интернет-проект, ориентированный на широкий круг Сибирского региона.
По данным Rambler Top100, Sibnet.ru является самым популярным порталом в Сибири.

Контакты:
АО "Ринет"
ОГРН 1025402475856
г. Новосибирск, ул. Якушева, д. 37, 3 этаж
отдел рекламы:
(383) 347-10-50, 347-06-78, 347-22-11, 347-03-97

Редакция: (383) 347-86-84

Техподдержка:
help.sibnet.ru
Авторизируйтесь,
чтобы продолжить
Некоторые функции доступны только зарегистрированным пользователям
Неправильный логин или пароль

Внимание! Теперь для входа на форум необходимо вводить единый пароль регистрации сервисов sibnet.ru!

Здравствуйте, гость ( Вход | Регистрация )



 
Тема закрытаОткрыть новую тему
> [Решено]Помогите удалить вирусы + Trojandownloader:win32/carberp!dat
Brestzor
сообщение 20.5.2012, 12:21
Сообщение #1


Молчун
Group Icon


Группа: Пользователи
Сообщений: 7
Регистрация: 20.5.2012
Пользователь №: 434 449



Репутация:   0  


Помогите удалить вирусы пжл. Логи приложил sad.gif


Прикрепленные файлы
Прикрепленный файл  _____Brestzor.rar ( 203.52 килобайт ) Кол-во скачиваний: 37
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Brestzor
сообщение 22.5.2012, 6:31
Сообщение #2


Молчун
Group Icon


Группа: Пользователи
Сообщений: 7
Регистрация: 20.5.2012
Пользователь №: 434 449



Репутация:   0  


Цитата(Brestzor @ 20.5.2012, 11:21) *

Помогите удалить вирусы пжл. Логи приложил sad.gif


ЧО некто непоможет wink.gif
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
stell18
сообщение 22.5.2012, 11:20
Сообщение #3


Молчун
Group Icon


Группа: Sibnet-club
Сообщений: 95
Регистрация: 15.11.2008
Из: г. Киселёвск
Пользователь №: 60 840



Репутация:   2  


Вот не повериш вирусню дома уже года этак 2 не ловил *nix всетаки хорошая ось.
Ты бы хоть симптому указал что не работает? Или не запускается.
А по делу скачай DrWeb cureit и проверь свой бук.
» Спойлер (нажмите, чтобы прочесть) «


Сообщение отредактировал stell18 - 22.5.2012, 11:22
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Brestzor
сообщение 22.5.2012, 14:45
Сообщение #4


Молчун
Group Icon


Группа: Пользователи
Сообщений: 7
Регистрация: 20.5.2012
Пользователь №: 434 449



Репутация:   0  


Цитата(stell18 @ 22.5.2012, 10:20) *

Вот не повериш вирусню дома уже года этак 2 не ловил *nix всетаки хорошая ось.
Ты бы хоть симптому указал что не работает? Или не запускается.
А по делу скачай DrWeb cureit и проверь свой бук.
» Спойлер (нажмите, чтобы прочесть) «



Неповеришь, ноут 2 года и тоже 1 раз поймал вирусы. Симптомы ..незапускаются браузеры. Врубил комп..браузеры непашут Через минут 10..антивирус орёт что поймал Garbert!dat и ещё 3-4 трояна(всегда разные) и какбы удаляет. Всё начинает работать. на С диске создаются папки типа puEUyA1Wwnvv1on. Когда вырубил/включил..ситуация повторяется.

А да..чистил куреитом..ничо ненаходит)) мол всё тип топ.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Laperuz
сообщение 22.5.2012, 15:33
Сообщение #5


Любит поговорить
Group Icon


Группа: Пользователи
Сообщений: 291
Регистрация: 4.11.2009
Из: Иркутск
Пользователь №: 158 512



Репутация:   52  


Вечером посмотрю логи.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Brestzor
сообщение 22.5.2012, 16:02
Сообщение #6


Молчун
Group Icon


Группа: Пользователи
Сообщений: 7
Регистрация: 20.5.2012
Пользователь №: 434 449



Репутация:   0  


Цитата(Laperuz @ 22.5.2012, 14:33) *

Вечером посмотрю логи.
Пасиба жду)) smile.gif
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Laperuz
сообщение 22.5.2012, 20:47
Сообщение #7


Любит поговорить
Group Icon


Группа: Пользователи
Сообщений: 291
Регистрация: 4.11.2009
Из: Иркутск
Пользователь №: 158 512



Репутация:   52  


Откройте AVZ,выберите меню файл-выполнить скрипт.Скопируйте данный скрипт,нажмите запустить:
Код
begin
SearchRootkit(true, true);
SetAVZPMStatus(True);
QuarantineFile('C:\Users\Дмитрий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AkPGtgTD5hs.exe','');
QuarantineFile('rdpclip','');
QuarantineFile('C:\windows\system32\IntEdReg.exe','');
QuarantineFile('C:\Users\Дмитрий\AppData\Local\Temp\NEventMessages.dll','');
QuarantineFile('C:\Users\AACE~1\AppData\Local\Temp\NOSEventMessages.dll','');
QuarantineFile('C:\Program Files\Common Files\Services\WMPtrust.gra','');
QuarantineFile('C:\Users\AACE~1\AppData\Local\Temp\lredbooo.sys','');
QuarantineFile('C:\windows\SYSTEM32\Rezip.exe','');
QuarantineFile('C:\windows\system32\drivers\bzdcyyej.sys','');
DeleteFile('C:\windows\system32\drivers\bzdcyyej.sys');
DeleteFile('C:\Users\AACE~1\AppData\Local\Temp\lredbooo.sys');
DeleteFile('C:\Users\AACE~1\AppData\Local\Temp\NOSEventMessages.dll');
DeleteFile('C:\Users\Дмитрий\AppData\Local\Temp\NEventMessages.dll');
DeleteFile('C:\Users\Дмитрий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AkPGtgTD5hs.exe');
DeleteService('lredbooo');
DeleteService('bzdcyyej');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится.
Откройте AVZ,выберите меню файл-выполнить скрипт.Скопируйте данный скрипт,нажмите запустить:
Код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


В папке с AVZ создастся архив с именем quarantine.zip. Полученный архив отправьте на адрес malware<at>russia.ru(<at> замените на @)

В HJT пофиксить следующие строки:
Код
R3 - URLSearchHook: (no name) - {b4efb02b-cd4a-44b9-b5d9-aa486cdffab6} - (no file)
O4 - Startup: AkPGtgTD5hs.exe
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{14B9869F-FBC9-4E53-BD07-F5DE87D2D6AE}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{36707A73-DFA2-4E90-9B93-492610E1F47B}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E3C53E5-6D39-4DEB-BDD0-C66B2B8A0848}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{5314693F-32A4-43AB-AF8E-6B4C1C389EF1}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{573A2294-D3CF-4127-BDF2-45EC9EECC5B6}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{842E5641-B8FC-4614-A9EC-5669350AD220}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A91405B8-2D43-4533-B4A7-88E3A3A99571}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5FCDE26-874E-44A1-9745-267549887DE0}: NameServer = 127.0.0.1
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\windows\system32\GameMon.des.exe (file missing)


Повторите лог AVZ (Скрипт №2, "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2) и прикрепите его к новому сообщению.


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
MotoArhangel
сообщение 22.5.2012, 21:26
Сообщение #8


- 夜狼 -
Group Icon


Группа: GNU/Linux
Сообщений: 1 221
Регистрация: 24.9.2009
Из: Алтай =)
Пользователь №: 141 745



И в преть не ставь репаки с играми=)
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Brestzor
сообщение 23.5.2012, 14:44
Сообщение #9


Молчун
Group Icon


Группа: Пользователи
Сообщений: 7
Регистрация: 20.5.2012
Пользователь №: 434 449



Репутация:   0  


Всё сделал как написали..вот новый лог ..а файл карантин отправил на почту.

Сообщение отредактировал Brestzor - 23.5.2012, 14:46


Прикрепленные файлы
Прикрепленный файл  brestzor_new_LOG.rar ( 36.52 килобайт ) Кол-во скачиваний: 43
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Brestzor
сообщение 25.5.2012, 15:12
Сообщение #10


Молчун
Group Icon


Группа: Пользователи
Сообщений: 7
Регистрация: 20.5.2012
Пользователь №: 434 449



Репутация:   0  


Ребят ну так что, остались ещё вирус или нет? Garbert кажись удалён..нэт и браузеры пашут
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Laperuz
сообщение 27.5.2012, 15:20
Сообщение #11


Любит поговорить
Group Icon


Группа: Пользователи
Сообщений: 291
Регистрация: 4.11.2009
Из: Иркутск
Пользователь №: 158 512



Репутация:   52  


В логах чисто.

Из найденного в ходе лечения:

C:\Users\Дмитрий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AkPGtgTD5hs.exe - Trojan-Spy.Win32.Carberp.lzq(Dr.Web: Trojan.Carberp.423)
C:\Program Files\Common Files\Services\WMPtrust.gra - Trojan-Dropper.Win32.Metel.i

Второй зловред на момент попадания в карантин детектировался только 2 из 43 антивирусов, сейчас уже 17 cool.gif


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Brestzor
сообщение 29.5.2012, 19:41
Сообщение #12


Молчун
Group Icon


Группа: Пользователи
Сообщений: 7
Регистрация: 20.5.2012
Пользователь №: 434 449



Репутация:   0  


Отлично. Laperuz тебе Огромное спасибо и уважуха))
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Laperuz
сообщение 31.5.2012, 21:43
Сообщение #13


Любит поговорить
Group Icon


Группа: Пользователи
Сообщений: 291
Регистрация: 4.11.2009
Из: Иркутск
Пользователь №: 158 512



Репутация:   52  


Не за что smile.gif
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения

Тема закрытаОткрыть новую тему
1 чел. просматривают этот форум (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 

Текстовая версия Сейчас: 29.3.2024, 2:57
Редакция: (383) 347-86-84

Техподдержка:
help.sibnet.ru
Размещение рекламы:
тел: (383) 347-06-78, 347-10-50

Правила использования материалов