Авторизируйтесь,
чтобы продолжить
Некоторые функции доступны только зарегистрированным пользователям
Неправильный логин или пароль

Внимание! Теперь для входа на форум необходимо вводить единый пароль регистрации сервисов sibnet.ru!

Здравствуйте, гость ( Вход | Регистрация )



 
Ответить в эту темуОткрыть новую тему
> [В работе]помощь в лечении вируса Win32.trojandownloader.carberp.ad, Win32.TrojanDownloader.Carberp.AD
Sem_1
сообщение 3.4.2012, 0:36
Сообщение #1


Молчун
Group Icon


Группа: Пользователи
Сообщений: 2
Регистрация: 2.4.2012
Пользователь №: 429 576



Репутация:   0  


пожалуйста помогите решить проблему.
файл hijackthis почему-то не хочет прикрепляться поэтому приклепляю прямо в сообщение.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:30:06, on 02.04.2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Windows\Explorer.EXE
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\HP\HP Software Update\hpwuschd2.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\ProgramData\VKSaver\VKSaver.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Users\user\AppData\Local\Yandex\Updater\praetorian.exe
I:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
C:\Windows\system32\svchost.exe
C:\Program Files\PC Connectivity Solution\Transports\NclMSBTSrvEx.exe
I:\Opera\opera.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\user\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=135293
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.29.64.25:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Визуальные закладки - {C93F72A2-2162-4BBA-A07A-F13663C297A6} - C:\Program Files\Yandex\YandexBarIE\fastdial.dll
O2 - BHO: Bing Bar BHO - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files\MSN Toolbar\Platform\6.3.2291.0\npwinext.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: @C:\Program Files\MSN Toolbar\Platform\6.3.2291.0\npwinext.dll,-100 - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files\MSN Toolbar\Platform\6.3.2291.0\npwinext.dll
O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll
O4 - HKLM\..\Run: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Microsoft Default Manager] "C:\Program Files\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" -resume
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VKSaver] C:\ProgramData\VKSaver\VKSaver.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Praetorian] C:\Users\user\AppData\Local\Yandex\Updater\praetorian.exe
O4 - HKCU\..\Run: [PC Suite Tray] "I:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [ifziz] cmd.exe /c copy "C:\Users\user\AppData\Local\Temp\t1" "C:\WINDOWS\system32\drivers\etc\hosts" /Y && erase "C:\Users\user\AppData\Local\Temp\tthywx.dll" && copy "\C:\Users\user\AppData\Local\Temp\ffyzk" "%WINDIR%\system32\drivers\etc\hоsts" /Y && attrib +H "C\system32\drivers\etc\hosts"
O4 - HKCU\..\Run: [Google Update] "C:\Users\user\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-21-1777262674-2838850368-4273849660-1005\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'UpdatusUser')
O4 - HKUS\S-1-5-21-1777262674-2838850368-4273849660-1005\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'UpdatusUser')
O4 - Startup: JSdVZaCkULc.exe
O4 - Startup: xjpsj.lnk = C:\Windows\System32\cmd.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{321D6F57-8C8F-453C-BEFA-0F66D16F3299}: NameServer = 212.232.62.10 212.232.63.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{321D6F57-8C8F-453C-BEFA-0F66D16F3299}: NameServer = 212.232.62.10 212.232.63.3
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~2\VKSaver\vksaver3.dll
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6245 bytes


Прикрепленные файлы
Прикрепленный файл  virusinfo_syscheck.zip ( 37.7 килобайт ) Кол-во скачиваний: 35
Прикрепленный файл  virusinfo_syscure.zip ( 42.23 килобайт ) Кол-во скачиваний: 32
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Laperuz
сообщение 4.4.2012, 20:09
Сообщение #2


Любит поговорить
Group Icon


Группа: Пользователи
Сообщений: 291
Регистрация: 4.11.2009
Из: Иркутск
Пользователь №: 158 512



Репутация:   52  


Здравствуйте!
Откройте AVZ,выберите меню файл-выполнить скрипт.Скопируйте данный скрипт,нажмите запустить:
Код
begin
SearchRootkit(true, true);
SetAVZPMStatus(True);
QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JSdVZaCkULc.exe','');
QuarantineFile('C:\Users\user\AppData\Local\Temp\tthywx.dll','');
DeleteFile('C:\Users\user\AppData\Local\Temp\tthywx.dll');
DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JSdVZaCkULc.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится.
Откройте AVZ,выберите меню файл-выполнить скрипт.Скопируйте данный скрипт,нажмите запустить:
Код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


В папке с AVZ создастся архив с именем quarantine.zip. Полученный архив отправьте на адрес malware<at>russia.ru(<at> замените на @)

В HJT пофиксить следующие строки:
Код
O4 - HKCU\..\Run: [ifziz] cmd.exe /c copy "C:\Users\user\AppData\Local\Temp\t1" "C:\WINDOWS\system32\drivers\etc\hosts" /Y && erase "C:\Users\user\AppData\Local\Temp\tthywx.dll" && copy "\C:\Users\user\AppData\Local\Temp\ffyzk" "%WINDIR%\system32\drivers\etc\hоsts" /Y && attrib +H "C\system32\drivers\etc\hosts"
O4 - Startup: JSdVZaCkULc.exe
O4 - Startup: xjpsj.lnk = C:\Windows\System32\cmd.exe


После этого снова обновите базы AVZ(Файл-обновление баз), повторите лог AVZ (Скрипт №2, "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2) и прикрепите его к новому сообщению.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Sem_1
сообщение 4.4.2012, 22:22
Сообщение #3


Молчун
Group Icon


Группа: Пользователи
Сообщений: 2
Регистрация: 2.4.2012
Пользователь №: 429 576



Репутация:   0  


архив отправил. не знаю как пофиксить в HJT
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Laperuz
сообщение 5.4.2012, 19:51
Сообщение #4


Любит поговорить
Group Icon


Группа: Пользователи
Сообщений: 291
Регистрация: 4.11.2009
Из: Иркутск
Пользователь №: 158 512



Репутация:   52  


Запустить HJT, нажать "Do a system scan only", после завершения сканирования отметить указанные строки и нажать "Fix checked"

Из уже попавшего в логи: C:\Users\user\AppData\Local\Temp\tthywx.dll - Win32:Dropper-KMK [Drp](Avast)

Обновите базы AVZ(Файл-обновление баз), повторите лог AVZ (Скрипт №2, "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2) и прикрепите его к новому сообщению.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения

Ответить в эту темуОткрыть новую тему
1 чел. просматривают этот форум (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 

Текстовая версия Сейчас: 18.9.2019, 10:09
Редакция: (383) 347-86-84

Техподдержка: (383) 347-22-44
help.sibnet.ru
Размещение рекламы:
тел: (383) 347-06-78, 347-10-50

Правила использования материалов