Перейти к содержанию
Правила раздела

Антивирус обнаружил Win32/TrojanDownloader.Carberp.AF

Nice42ru

Автор Nice42ru
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Nice42ru

Nice42ru

Опубликовано
Опубликовано

Мой антивирус обнаружил данный вирус и ничего не может с ним сделать, прошу вашей помощи, заранее спасибо

 

и ешё постоянно создаются папки в диске C с вот таким файлом "klpclst" и вот такими названиями "C:\4GS5i8iuwrPS4LF"

 

 

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

Ссылка на комментарий
Поделиться на другие сайты
icotonev

icotonev

Опубликовано
Опубликовано

Здравствуйте..!

 

Отключите временно:

Антивирус/Файерволл

 

Скрипт AVZ.

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Ирина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OuufMMiUAYs.exe','');
QuarantineFile('C:\Users\Ирина\0.9920390986460985.exe','');
QuarantineFile('C:\Users\Ирина\AppData\Roaming\netprotocol.exe','');
QuarantineFileF('C:\Users\Ирина\AppData\Roaming\0Dw0vDJN9yjSzpL', '*.*', false, '', 0, 0);
QuarantineFileF('C:\Users\Ирина\AppData\Roaming\4GS5i8iuwrPS4LF', '*.*', false, '', 0, 0);
QuarantineFileF('C:\Users\Ирина\AppData\Roaming\Oo2ZgYnzRmGTx1I', '*.*', false, '', 0, 0);
QuarantineFileF('C:\4GS5i8iuwrPS4LF', '*.*', false, '', 0, 0);
DeleteFile('C:\Users\Ирина\0.9920390986460985.exe');
DeleteFile('C:\Users\Ирина\AppData\Roaming\netprotocol.exe');
DeleteFile('C:\Users\Ирина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OuufMMiUAYs.exe');
DeleteFileMask('C:\4GS5i8iuwrPS4LF', '*.*', true);
DeleteFileMask('C:\Users\Ирина\AppData\Roaming\0Dw0vDJN9yjSzpL', '*.*', true);
DeleteFileMask('C:\Users\Ирина\AppData\Roaming\4GS5i8iuwrPS4LF', '*.*', true);
DeleteFileMask('C:\Users\Ирина\AppData\Roaming\Oo2ZgYnzRmGTx1I', '*.*', true);
DeleteDirectory('C:\4GS5i8iuwrPS4LF');
DeleteDirectory('C:\Users\Ирина\AppData\Roaming\0Dw0vDJN9yjSzpL');
DeleteDirectory('C:\Users\Ирина\AppData\Roaming\4GS5i8iuwrPS4LF');
DeleteDirectory('C:\Users\Ирина\AppData\Roaming\Oo2ZgYnzRmGTx1I');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S939440');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S14115256');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите Пароль: virus .

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь.

 

HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

R3 - URLSearchHook: (no name) - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} - (no file)

 

Пожалуйста, подготовить новые логи с АВЗ и RSIT...!

 

+ все пароли смените

Ссылка на комментарий
Поделиться на другие сайты
Nice42ru

Nice42ru

Опубликовано
  • Автор
Опубликовано
Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

klpclst.dat - Trojan.Script.Carberp.a

 

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

 

С уважением, Лаборатория Касперского

 

"123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

 

Hello,

 

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

 

klpclst.dat - Trojan.Script.Carberp.a

 

At the moment this file is detected with the latest antivirus bases.

 

Best Regards, Kaspersky Lab

 

"10/1, 1st Volokolamsky Proezd, Moscow, 123060, RussiaTel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

 

 

Спасибо вам большое за помощь, вот логи:

 

 

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

 

Скажите пожалуйста как избежать повторного заражения этим вирусом? У меня на этом компьютере ESET Smart Security 5 c последними обновлениями.

Ссылка на комментарий
Поделиться на другие сайты
Dimitri

Dimitri

Опубликовано
Опубликовано (изменено)
Спасибо вам большое за помощь, вот логи:

 

 

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

 

Скажите пожалуйста как избежать повторного заражения этим вирусом? У меня на этом компьютере ESET Smart Security 5 c последними обновлениями.

 

Пользоватся достойными Антивирусами , своевременно обновлять ОС

Изменено пользователем Dimitri
Ссылка на комментарий
Поделиться на другие сайты
icotonev

icotonev

Опубликовано
Опубликовано (изменено)

  • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
  • Прикрепите файл к следующему сообщению.

 

Еще раз напоминаю - все пароли смените

Активного заражения не видно. Что с проблемами?

Изменено пользователем icotonev
Ссылка на комментарий
Поделиться на другие сайты
Nice42ru

Nice42ru

Опубликовано
  • Автор
Опубликовано
Results of screen317's Security Check version 0.99.32

Windows 7 Service Pack 1 x86 (UAC is enabled)

Internet Explorer 9

``````````````````````````````

Antivirus/Firewall Check:

ESET Smart Security

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Java 6 Update 26

Java version out of date!

Adobe Flash Player 11.2.202.235

Adobe Reader X (10.1.3)

````````````````````````````````

Process Check:

objlist.exe by Laurent

``````````End of Log````````````

 

проблема решена, спасибо

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Belvol
      [РЕШЕНО] Не удаляется вирус Win32/Trojan.Generic.HgLATxcA
      Автор Belvol
      Здравствуйте. Поймал троян-майнер. Чищу антивирусом и после перезагрузки появляется снова. Помогите разобраться, пожалуйста
      CollectionLog-2025.07.01-00.20.zip
    • Ezexec
      [РЕШЕНО] Обнаружил мощный майнер на пк
      Автор Ezexec
      Стал замечать большие просадки фпс в разных играх. C открытым диспетчером задач проблема всегда уходит. В самом диспетчере нашел "левый" процесс с фейковой иконкой дискорда, который периодически меняет рандомно названия. Погуглив, понял, что это самый настоящий майнер. Заблочил мне все антивирусы, редактор реестра и службы. Из-за этого никакими статьями и советами не могу избавиться от этого майнера. Был бы рад какому либо совету или помощью.
    • KL FC Bot
      Defendnot отключает встроенный антивирус
      Автор KL FC Bot
      Многие современные компании поддерживают политику BYOD (Bring Your Own Device) — то есть разрешают сотрудникам использовать собственные устройства для служебных нужд. Особенно эта практика распространена в организациях, приветствующих удаленный формат работы. У BYOD есть масса очевидных преимуществ, однако внедрение подобной политики создает новые риски для кибербезопасности компании.
      Для предотвращения угроз ИБ-отделы часто выдвигают требование наличия защитного решения в качестве обязательного условия для использования собственного устройства для работы. В то же время некоторые сотрудники — особенно продвинутые и уверенные в себе технические специалисты — могут считать, что антивирус вряд ли может быть полезен и, скорее всего, будет усложнять им жизнь.
      Это не самое разумное мнение, но переубедить таких людей может быть не так уж просто. Главная проблема состоит в том, что уверенные в своей правоте сотрудники могут найти способ обмануть систему. Сегодня в рамках рубрики «Предупрежден — значит вооружен» мы расскажем об одном из них: о новом исследовательском проекте под названием Defendnot, который позволяет отключать Microsoft Defender на устройствах с Windows, регистрируя фальшивый антивирус.
      Как эксперимент с no-defender показал, что Microsoft Defender можно отключить с помощью поддельного антивируса
      Чтобы разобраться в том, как работает Defendnot, нам придется перенестись на год назад. Тогда исследователь с Twitter-ником es3n1n, который является автором этого инструмента, опубликовал первую версию проекта на GitHub. Он назывался no-defender, и его задачей также являлось отключение встроенного антивируса Windows Defender.
      Для выполнения этой задачи es3n1n эксплуатировал специальный программный интерфейс Windows под названием WSC API (Windows Security Center — Центр безопасности Windows). Через него антивирусное ПО сообщает системе о том, что оно установлено и берет на себя защиту устройства в режиме реального времени. Получив такое сообщение, Windows автоматически отключает Microsoft Defender, чтобы избежать конфликтов при одновременной работе нескольких защитных решений на одном устройстве.
      На основе кода существующего защитного решения исследователь смог создать свой поддельный «антивирус», который регистрировался в системе и проходил все проверки Windows. После этого Microsoft Defender отключался, а устройство оставалось незащищенным, поскольку no-defender на практике не имел никаких защитных функций.
      Проект no-defender достаточно быстро набрал популярность на GitHub и успел получить 2 тысячи звезд от благодарных пользователей. Однако компания-разработчик антивируса, чей код использовал исследователь, отправила на него жалобу о нарушении Закона об авторском праве в цифровую эпоху (DMCA). Поэтому es3n1n удалил код проекта из GitHub, оставив только страничку с описанием.
       
      View the full article
    • Ruslan10202
      Антивирусу не удаётся удалить вирус
      Автор Ruslan10202
    • KL FC Bot
      LunaSpy скрывается как антивирус-шпион на Android | Блог Касперского
      Автор KL FC Bot
      В погоне за безопасностью многие готовы установить любое приложение, которое пообещает надежную защиту от вредоносов и мошенников. Именно этим страхом умело пользуются создатели нового мобильного шпиона LunaSpy, распространяющегося через мессенджеры под видом антивируса. После установки фейковый антивирус имитирует работу настоящего — сканирует устройство и даже выдает пугающее число найденных угроз. На самом деле, никаких угроз он не обнаруживает, а просто шпионит за владельцем зараженного смартфона.
      Как действует новый зловред и как от него защититься — читайте в нашем материале.
      Как шпион попадает в телефон
      Мы обнаружили новую вредоносную кампанию, направленную на пользователей Android в России. Она активна как минимум с конца февраля 2025 года. Шпион попадает на смартфоны через мессенджеры под видом не только антивируса, но и банковских защитников. Выглядеть это может, например, так:
      «Привет, установи вот эту программу». Потенциальной жертве может прийти сообщение с предложением установить ПО как от незнакомца, так и от взломанного аккаунта человека из контактов — так, например, угоняют аккаунты в Telegram. «Скачайте приложение в нашем канале». В Telegram ежесекундно появляются новые открытые каналы, поэтому вполне можно допустить, что некоторые из них могут распространять вредоносное ПО под видом легитимного. После установки фейковое защитное приложение показывает вымышленное число обнаруженных угроз на устройстве для того, чтобы вынудить пользователя предоставить все возможные разрешения якобы для спасения смартфона. Так жертва собственноручно открывает приложению доступ ко всем личным данным, даже не догадываясь о настоящих мотивах лжезащитника.
       
      View the full article
×
×
  • Создать...