удаление вируса troyan-spy.win32.carberp.vy

[k400]

При полной проверке системы обнаружена троянская программа Trojan-Spy.Win32.Carberp.vy файл: C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\igfxtray.exe.

Сообщает, что удалит после перезагрузки. После перезагрузки снова: обнаружена троянская программа Trojan-Spy.Win32.Carberp.vy

 

 

p.s. проблема прявилась после установки KAV, т.е. вирус в системе был еще до установки антивируса

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[ska79]

Внимание ! База поcледний раз обновлялась 17.10.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Протокол антивирусной утилиты AVZ версии 4.37

Обновите базы avz (файл\обновление баз) и переделайте логи avz

Изменено 27 марта, 2012 пользователем СЕРГИУС

[Tiare]

k400,

 

+ к вышесказанному

 

 

обязательно приложите лог Random's System Information Tool (RSIT).

Изменено 27 марта, 2012 пользователем Tiare

[k400]

новые логи

 

+ к вышесказанному

в первом сообщении приложил лог HijackThis

утилита по правилам должна скачать HijackThis из интернета, но этот комп в интернет не может выйти из-за вируса , если это принципиально и не устроит просто лог HijackThis буду думать что делать

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Tiare]

Необходимо удалить остатки от Dr Web (инструкция в подписи).

 

 

 

Настройки прокси-сервера 192.168.0.1:3128 прописывали самостоятельно? Если нет, то

Пофиксите в HijackThis следующие строчки.

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:3128

 

 

Внимание!

Если после выполнения скрипта, подключение к интернету не восстановится, выполняйте инструкции, указанные ниже.

 

Как устранить проблемы с сетью после "лечения".

Заранее скачайте утилиту и предварительно запишите все настройки сетевых подключений.

 

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\ShWrKtP.dll','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\ShWrKtP.dll');
DelSPIByFileName('C:\Documents and Settings\All Users\Application Data\ShWrKtP.dll', false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
AutoFixSPI;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Рекомендую исправить с помощью AVZ - меню "Файл\Мастер поиска и устранения проблем"

>> Заблокированы настройки системы System Restore

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

 

 

 

Проверьте, появилось ли подключение к интернету? Если появилось, то

 

1) Повторите логи AVZ

 

2) Сделайте логи RSIT

 

3) Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы. Откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full. Выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

4)

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
   
2. Скопируйте слудующий текст в блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:

   tdsskiller.exe -silent -qmbr -qboot

   
   

3. Запустите файл fix.bat;
   
4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
   
5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
   
6. Запустите файл TDSSKiller.exe;
   
7. Нажмите кнопку "Начать проверку";
   
8. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
     
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
     

[*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.

[*]Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.

[*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).

[*]После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.

[*]Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).

Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt

Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

 

5) Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

Установите SP3 (может потребоваться активация) + все новые обновления для Windows

 

 

P.S. готовьтесь менять важные пароли, особенно от платежных систем!

Изменено 27 марта, 2012 пользователем Tiare