Показано с 1 по 7 из 7.

explorer.exe(1592) - модифицированный Win32/TrojanDownloader.Carberp.AH (заявка № 116946)

  1. #1
    Junior Member Репутация
    Регистрация
    21.02.2012
    Сообщений
    5
    Вес репутации
    18

    Thumbs up explorer.exe(1592) - модифицированный Win32/TrojanDownloader.Carberp.AH

    Здравствуйте. И я попался на этот троян( Вероятно через необновлённую Java - злоумышленники получили доступ (как минимум) к моей почте на gmail и к аккаунту в твиттере, через который начали спамить ретвитами.
    Eset Smart Security находит в оперативной памяти это: "explorer.exe(1592) - модифицированный Win32/TrojanDownloader.Carberp.AH". Если снять explorer.exe тот же самый червь обнаруживается в svhost.

    Сканил компьютер сегодняшним Dr.WebCureIt! - как результат было удалено 5 других троянов, текущая же проболема осталась.
    Помогите, пожалуйста.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) Daymon, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    В AVZ выполните скрипт:

    Код:
    var StartupFolder:string;
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{EF99BD32-C1FB-11D2-892F-0090271D4F88}');
     QuarantineFile(StartupFolder + '\HtXvOT1OWjQ.exe','');
     QuarantineFile('C:\Windows\system32\trfpbbuu”f„u?о?w=і=w.exe','');
     QuarantineFile('C:\Windows\system32\plknzcvu?о8w??yw`ю?.exe','');
     QuarantineFile('C:\Windows\System32\Drivers\Nsynas32.sys','');
     QuarantineFile('C:\Users\UpdatusUser\AppData\Local\Temp\m2i84iq9.exe','');
     if FileExists('C:\WINDOWS\system32\userinit.exe') 
    then begin
     DeleteFile('C:\Users\UpdatusUser\AppData\Local\Temp\m2i84iq9.exe');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-710847892-317017932-351803322-1001\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
     DeleteFile('C:\Windows\system32\plknzcvu?о8w??yw`ю?.exe');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-710847892-317017932-351803322-1001\Software\Microsoft\Windows\CurrentVersion\Run','FileSystem');
     DeleteFile('C:\Windows\system32\trfpbbuu”f„u?о?w=і=w.exe');
     DeleteFile(StartupFolder + '\HtXvOT1OWjQ.exe');
    BC_ImportAll;
    ExecuteSysClean;
    RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
    ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    ExecuteRepair(14);
    RebootWindows(true);
     end else
    end.

    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.

    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
    Логи повторите.
    + Сделайте лог полного сканирования MBAM
    Paula rhei.
    Поддержать проект можно тут

  5. миднайт получил(а) 3 благодарностей за это сообщение от


  6. #4
    Junior Member Репутация
    Регистрация
    21.02.2012
    Сообщений
    5
    Вес репутации
    18
    скрипты выполнил, все логи повторил, мбам сделал, карантин отправил.
    Спасибо, что помогаете
    Вложения Вложения

  7. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Удалите в МВАМ только указанные ниже записи
    Код:
    Files Detected: 44
    C:\Users\Daymon\AppData\Local\Temp\F11E.tmp (Trojan.Agent.PE5) -> No action taken.
    C:\Users\Daymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HtXvOT1OWjQ.exe (Trojan.Agent.PE5) -> No action taken.
    D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0384458.exe (Worm.Magania) -> No action taken.
    D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0384958.exe (RiskWare.Tool.CK) -> No action taken.
    D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385007.exe (Malware.Packer.Gen) -> No action taken.
    D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0384966.exe (Malware.Packer.Gen) -> No action taken.
    D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385136.exe (RiskWare.Tool.CK) -> No action taken.
    D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385137.exe (Trojan.Downloader) -> No action taken.
    D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385139.exe (Trojan.Downloader) -> No action taken.
    D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385140.exe (Trojan.Downloader) -> No action taken.
    D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385143.exe (Trojan.Downloader) -> No action taken.
    D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385255.exe (Trojan.Downloader) -> No action taken.
    D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385311.exe (RiskWare.Tool.CK) -> No action taken.
    D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385314.exe (RiskWare.Tool.CK) -> No action taken.
    D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385590.exe (RiskWare.Tool.CK) -> No action taken.
    C:\Users\Daymon\AppData\Roaming\chkntfs.dat (Malware.Trace) -> No action taken.
    c:\users\daymon\appdata\roaming\igfxtray.dat (Malware.Trace) -> No action taken.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. thyrex получил(а) 2 благодарностей за это сообщение от


  9. #6
    Junior Member Репутация
    Регистрация
    21.02.2012
    Сообщений
    5
    Вес репутации
    18
    большое спасибо, проблема решена! все пароли поменял, всё обновил, надеюсь больше не попадаться)

  10. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,524
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 10
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Daymon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 15.02.2012, 15:21
    2. Ответов: 11
      Последнее сообщение: 09.02.2012, 22:22
    3. Ответов: 3
      Последнее сообщение: 06.02.2012, 13:57
    4. Ответов: 6
      Последнее сообщение: 29.12.2011, 07:46
    5. Ответов: 2
      Последнее сообщение: 28.11.2011, 20:14

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00196 seconds with 23 queries