Добавлено: Пт Фев 03, 2012 5:38 pm
Заголовок сообщения: Как избавиться от Trojan.Carberp.30
Приветствую, вот на просторах сети словил сего противного зверька. Прописался по адресу C:/3Mc0dADTogClP2k /klpclst.dat. Др. Веб его вроде удаляет, но после перезагрузки всё начинается по новой. Может кто подскажет как с этим бороться?
В безопасном режиме (Ф8 при загрузке на Висте и 7, Shift для более ранних), запустить DrWeb CureIt, можно также AVZ с максимальными правами и блокировкой системы. Вылечить, а затем перезагрузить комп. Необходима полная проверка, так как вирус может быть не только на системном диске.
Его ядро сидит в папке System Volume Information, поэтому убить удасться только с помощью Live_CD.
Лично я избавился от него, залив системный образ диска С:
Кстати, этот вирус по-моему тырит данные банковских карт.......
(если нет образа, то мой Вам совет: форматируйте С: нафиг, и заливайте систему с нуля...)
Систему переустанавливать думаю крайняя мера.
С помощью АВЗ его удалить тоже не получилось. Может его из System Volume Information можно как-нибудь выковырять?
Может его из System Volume Information можно как-нибудь выковырять?
Можно, если он не перекочует в другую партицию.
Открывайте доступ к SVI, а потом убейте. Не знаю как у Вас, но я бы убил все SVI одновременно, если конечно у Вас не стоит резервное копирование дисков в этот самый SVI.
Я бы именно так сделал - удалил бы полностью SVI на всех партициях одновременно (всё равно потом восстановится) если не задействовано резервное копирование.
Проштудировав ещё несколько форумов по вопросу ".Carberp" ещё раз, убедился в том, что: если пользуетесь интернет-торговлей..: принимайте сразу "крайние" меры...
Добавлено спустя 2 минуты 44 секунды:
Про Gamimma.32 ничего сказать не могу, но "Carberp" Вы просто так не вышелкнете...
Добавлено спустя 4 минуты 12 секунд:
DrWeb рекомендует скачать с их сайта загрузочный Live_CD и при помощи его его убить, но что-то я до сих пор не нашёл положительных результатов после данных действий до сих пор...
Вирь кстати не только создаёт левые папки с "генерированным" названием на диске С: но он ещё и в "автозагрузке"(Пуск->Программы->Автозагрузка) ==>это он там появляется постоянно (там его DrWeb и находит и удаляет, но это бесполезно, т.к. ядро в "System Volume Information" )
Вариант, годный при наличии двух компьютеров: подцепить заразный хард на здоровую систему и рукками убрать то, что не удаётся, когда система запущена с заражённого харда. Возможно, и сканирование сработает корректней. Ну идея, думаю, ясна. Да, только с открытием дисков осторожнее, чтобы не было какого-нибудь autorun.inf на разделах. Открывать не даблкликом на имени диска, а правой кнопой мыши и открыть, либо через проводник дерево каталогов просматривать.
а autorun.inf - я пустые каталоги создаю сам с таким названием и делаю их read-only, таким образом вирус не может создать нужный файл под себя.
Вариант, годный при наличии двух компьютеров: подцепить заразный хард на здоровую систему и рукками убрать то, что не удаётся, когда система запущена с заражённого харда. Возможно, и сканирование сработает корректней. Ну идея, думаю, ясна.
Это как вариант, но у меня даже с низкого уровня имеющихся в наличае"Live_CD" не было доступа к "System Volume Information"
Если кто знает как победить, ждём и верим!
Кстати, а если попробовать откатить систему на более раннюю дату, если system restore используется? Хуже вряд ли станет.
А права доступа к sysvolinfo отредактировать не получается? и перенять правообладание (take ownership), если не ошибаюсь, в sysvolinfo сидят данные system restore и если их грохнуть, то конца света не будет.
Короче! Совет всем и навсегда!!: делайте периодически BackUp диска С: с помощью Acronis ... и не будете знать подобных бед как и я.......
Добавлено спустя 3 минуты 23 секунды:
В случае подобных бяк восстановитесь в течении 5-ти 10-ти минут, и всё... я, например, Carberp схватил, но перед этим каким-то чудом за неделю до этого образ диска С: сделал Acronis-ом, и всем советую...
Добавлено: Сб Фев 04, 2012 12:23 am
Заголовок сообщения:
Блин, после попытки снести эту заразу через ЛайвСД возник ещё один баг, при открытии диска с: не отображается ни одна папка, но при обращении к ним через проводник всё видно.
Добавлено: Сб Фев 04, 2012 12:45 am
Заголовок сообщения:
Zerg писал(а):
не отображается ни одна папка
Значит я частично был прав - вирус препятствует попытке открытия скрытых файлов.
Полазите по иностранным форумам, может там есть описание решения вашей проблемы...
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете вкладывать файлы Вы не можете скачивать файлы