КАРТА САЙТА
Sibnet.ru
Sibnet.ru

Sibnet.ru — это информационно-развлекательный интернет-проект, ориентированный на широкий круг Сибирского региона.
По данным Rambler Top100, Sibnet.ru является самым популярным порталом в Сибири.

Контакты:
АО "Ринет"
ОГРН 1025402475856
г. Новосибирск, ул. Якушева, д. 37, 3 этаж
отдел рекламы:
(383) 347-10-50, 347-06-78, 347-22-11, 347-03-97

Редакция: (383) 347-86-84

Техподдержка:
help.sibnet.ru
Авторизируйтесь,
чтобы продолжить
Некоторые функции доступны только зарегистрированным пользователям
Неправильный логин или пароль

Внимание! Теперь для входа на форум необходимо вводить единый пароль регистрации сервисов sibnet.ru!

Здравствуйте, гость ( Вход | Регистрация )



2 страниц V  1 2 >  
Ответить в эту темуОткрыть новую тему
> [В работе]Помогите избавиться от вируса :(
Traviska
сообщение 15.5.2012, 1:11
Сообщение #1


Молчун
Group Icon


Группа: Пользователи
Сообщений: 43
Регистрация: 17.9.2010
Пользователь №: 303 630



Репутация:   0  


Помогите пожалуйсто вылечить вирус TrojanDownloader:Win32/Carberp!dat rolleyes.gif

hijackthis.log
virusinfo_syscheck.zip
virusinfo_syscure.zip
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Traviska
сообщение 16.5.2012, 15:59
Сообщение #2


Молчун
Group Icon


Группа: Пользователи
Сообщений: 43
Регистрация: 17.9.2010
Пользователь №: 303 630



Репутация:   0  


cry.gif
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
tinis
сообщение 17.5.2012, 12:51
Сообщение #3


МЕГА флудер
Group Icon


Группа: Sibnet-club
Сообщений: 2 044
Регистрация: 26.3.2009
Из: G
Пользователь №: 93 534



Репутация:   1970  


Цитата(Traviska @ 15.5.2012, 1:11) *

Помогите пожалуйсто вылечить вирус TrojanDownloader:Win32/Carberp!dat rolleyes.gif

hijackthis.log
virusinfo_syscheck.zip
virusinfo_syscure.zip

может тут глянуть
http://forum.sibnet.ru/index.php?s=&sh...&p=11777152
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Traviska
сообщение 17.5.2012, 16:37
Сообщение #4


Молчун
Group Icon


Группа: Пользователи
Сообщений: 43
Регистрация: 17.9.2010
Пользователь №: 303 630



Репутация:   0  


Цитата(tinis @ 17.5.2012, 11:51) *

непомогает sad.gif
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
alemtin
сообщение 17.5.2012, 20:22
Сообщение #5


Beer lover
Group Icon


Группа: Модераторы
Сообщений: 18 068
Регистрация: 4.7.2007
Из: Новокузнецк. Ильинка.
Пользователь №: 1 502



Репутация:   4322  


Цитата(Traviska @ 17.5.2012, 16:37) *

непомогает sad.gif

Подождите спецов. Должны зайти. Составят Вам скрипт. Скрипты индивидуальны.


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Laperuz
сообщение 18.5.2012, 9:48
Сообщение #6


Любит поговорить
Group Icon


Группа: Пользователи
Сообщений: 291
Регистрация: 4.11.2009
Из: Иркутск
Пользователь №: 158 512



Репутация:   52  


Вечером посмотрю логи. Сессия wacko.gif


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Laperuz
сообщение 18.5.2012, 15:35
Сообщение #7


Любит поговорить
Group Icon


Группа: Пользователи
Сообщений: 291
Регистрация: 4.11.2009
Из: Иркутск
Пользователь №: 158 512



Репутация:   52  


Здравствуйте!
Откройте AVZ,выберите меню файл-выполнить скрипт.Скопируйте данный скрипт,нажмите запустить:
Код
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\Users\Travis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\5bh27QoN8Mo.exe','');
QuarantineFile('%SystenRoot%\System32\netevent.dll','');
DeleteFile('H:\Users\Travis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\5bh27QoN8Mo.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится.
Откройте AVZ,выберите меню файл-выполнить скрипт.Скопируйте данный скрипт,нажмите запустить:
Код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


В папке с AVZ создастся архив с именем quarantine.zip. Полученный архив отправьте на адрес malware<at>russia.ru(<at> замените на @)

Повторите лог AVZ (Скрипт №2, "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2) и прикрепите его к новому сообщению.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Traviska
сообщение 18.5.2012, 16:56
Сообщение #8


Молчун
Group Icon


Группа: Пользователи
Сообщений: 43
Регистрация: 17.9.2010
Пользователь №: 303 630



Репутация:   0  


virusinfo_syscheck.zip
virusinfo_syscure.zip
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Laperuz
сообщение 18.5.2012, 19:11
Сообщение #9


Любит поговорить
Group Icon


Группа: Пользователи
Сообщений: 291
Регистрация: 4.11.2009
Из: Иркутск
Пользователь №: 158 512



Репутация:   52  


Откройте AVZ,выберите меню файл-выполнить скрипт.Скопируйте данный скрипт,нажмите запустить:
Код
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_QrFile('%SystenRoot%\System32\netevent.dll');
  QuarantineFile('%SystenRoot%\System32\netevent.dll','');
QuarantineFile('H:\Users\Travis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mG5CxcvC8BM.exe','');
DeleteFile('H:\Users\Travis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mG5CxcvC8BM.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится.
Откройте AVZ,выберите меню файл-выполнить скрипт.Скопируйте данный скрипт,нажмите запустить:
Код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


В папке с AVZ создастся архив с именем quarantine.zip. Полученный архив отправьте на адрес malware<at>russia.ru(<at> замените на @)

Повторите лог AVZ (Скрипт №2, "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2) и прикрепите его к новому сообщению.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Traviska
сообщение 18.5.2012, 19:26
Сообщение #10


Молчун
Group Icon


Группа: Пользователи
Сообщений: 43
Регистрация: 17.9.2010
Пользователь №: 303 630



Репутация:   0  


virusinfo_syscheck.zip
virusinfo_syscure.zip
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Laperuz
сообщение 18.5.2012, 20:36
Сообщение #11


Любит поговорить
Group Icon


Группа: Пользователи
Сообщений: 291
Регистрация: 4.11.2009
Из: Иркутск
Пользователь №: 158 512



Репутация:   52  


В логах чисто. Что с проблемой?

H:\Users\Travis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mG5CxcvC8BM.exe - Trojan-Spy.Win32.Carberp.lsj (Kaspersky Lab)
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Traviska
сообщение 18.5.2012, 21:53
Сообщение #12


Молчун
Group Icon


Группа: Пользователи
Сообщений: 43
Регистрация: 17.9.2010
Пользователь №: 303 630



Репутация:   0  


Цитата(Laperuz @ 18.5.2012, 19:36) *

В логах чисто. Что с проблемой?

H:\Users\Travis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mG5CxcvC8BM.exe - Trojan-Spy.Win32.Carberp.lsj (Kaspersky Lab)

В журнале антивирусника (Microsoft Security Essentrials) штук 20 Помещенно на карантин, но при включении компьютера всё нормально, ничего не всплывает как раньше smile.gif
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Laperuz
сообщение 18.5.2012, 23:05
Сообщение #13


Любит поговорить
Group Icon


Группа: Пользователи
Сообщений: 291
Регистрация: 4.11.2009
Из: Иркутск
Пользователь №: 158 512



Репутация:   52  


А дата в журнале до лечения или после?
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Traviska
сообщение 19.5.2012, 1:18
Сообщение #14


Молчун
Group Icon


Группа: Пользователи
Сообщений: 43
Регистрация: 17.9.2010
Пользователь №: 303 630



Репутация:   0  


Цитата(Laperuz @ 18.5.2012, 22:05) *

А дата в журнале до лечения или после?

После
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Laperuz
сообщение 19.5.2012, 10:51
Сообщение #15


Любит поговорить
Group Icon


Группа: Пользователи
Сообщений: 291
Регистрация: 4.11.2009
Из: Иркутск
Пользователь №: 158 512



Репутация:   52  


Имя перемещаемого файла какое?
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Traviska
сообщение 22.5.2012, 1:56
Сообщение #16


Молчун
Group Icon


Группа: Пользователи
Сообщений: 43
Регистрация: 17.9.2010
Пользователь №: 303 630



Репутация:   0  


Цитата(Laperuz @ 19.5.2012, 9:51) *

Имя перемещаемого файла какое?

file:H:\bJlbDjVEY175QCr\klpclst.dat
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Laperuz
сообщение 22.5.2012, 15:35
Сообщение #17


Любит поговорить
Group Icon


Группа: Пользователи
Сообщений: 291
Регистрация: 4.11.2009
Из: Иркутск
Пользователь №: 158 512



Репутация:   52  


Сделайте тогда для проверки лог из приложения 9.1 темы http://forum.sibnet.ru/index.php?showtopic=332224 и выложите его сюда.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Traviska
сообщение 23.5.2012, 19:16
Сообщение #18


Молчун
Group Icon


Группа: Пользователи
Сообщений: 43
Регистрация: 17.9.2010
Пользователь №: 303 630



Репутация:   0  


Цитата(Laperuz @ 22.5.2012, 14:35) *

Сделайте тогда для проверки лог из приложения 9.1 темы http://forum.sibnet.ru/index.php?showtopic=332224 и выложите его сюда.

Не нашел папку LOG в папке с установленой программой, но после проверки сохранил отчет, ничего не удалял, как было сказано. Вот отчет. Прикрепленный файл  mbam_log_2012_05_23__16_09_11_.txt ( 3.26 килобайт ) Кол-во скачиваний: 63


з.ы Во время проверки антивирус MSE нашел еще 2 вируса и поместил их на карантин:
PWS:Win32/Fareit.gen!C - file:H:\Users\Travis\AppData\Local\Temp\FE8B.tmp
PWS:Win32/Fareit - file:H:\Users\Travis\AppData\Local\Temp\9482.tmp, file:H:\Users\Travis\AppData\Local\Temp\C8F0.tmp
sad.gif
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Laperuz
сообщение 27.5.2012, 15:01
Сообщение #19


Любит поговорить
Group Icon


Группа: Пользователи
Сообщений: 291
Регистрация: 4.11.2009
Из: Иркутск
Пользователь №: 158 512



Репутация:   52  


Запустите сканирование еще раз, после окончания удалите следующие файлы:
Код
H:\Users\Travis\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
H:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
akok
сообщение 2.7.2012, 19:17
Сообщение #20


Молчун
Group Icon


Группа: Пользователи
Сообщений: 19
Регистрация: 8.10.2010
Пользователь №: 310 722



Репутация:   1  


Смените пароли обязательно, они ушли злоумышленникам.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения

2 страниц V  1 2 >
Ответить в эту темуОткрыть новую тему
1 чел. просматривают этот форум (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 

Текстовая версия Сейчас: 28.3.2024, 18:57
Редакция: (383) 347-86-84

Техподдержка:
help.sibnet.ru
Размещение рекламы:
тел: (383) 347-06-78, 347-10-50

Правила использования материалов