Junior Member
Вес репутации
45
explorer.exe(1592) - модифицированный Win32/TrojanDownloader.Carberp.AH
Здравствуйте. И я попался на этот троян( Вероятно через необновлённую Java - злоумышленники получили доступ (как минимум) к моей почте на gmail и к аккаунту в твиттере, через который начали спамить ретвитами.
Eset Smart Security находит в оперативной памяти это: "explorer.exe(1592) - модифицированный Win32/TrojanDownloader.Carberp.AH". Если снять explorer.exe тот же самый червь обнаруживается в svhost.
Сканил компьютер сегодняшним Dr.WebCureIt! - как результат было удалено 5 других троянов, текущая же проболема осталась.
Помогите, пожалуйста.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Daymon , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
В AVZ выполните скрипт:
Код:
var StartupFolder:string;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{EF99BD32-C1FB-11D2-892F-0090271D4F88}');
QuarantineFile(StartupFolder + '\HtXvOT1OWjQ.exe','');
QuarantineFile('C:\Windows\system32\trfpbbuu”f„u?о?w=і=w.exe','');
QuarantineFile('C:\Windows\system32\plknzcvu?о8w??yw`ю?.exe','');
QuarantineFile('C:\Windows\System32\Drivers\Nsynas32.sys','');
QuarantineFile('C:\Users\UpdatusUser\AppData\Local\Temp\m2i84iq9.exe','');
if FileExists('C:\WINDOWS\system32\userinit.exe')
then begin
DeleteFile('C:\Users\UpdatusUser\AppData\Local\Temp\m2i84iq9.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-710847892-317017932-351803322-1001\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
DeleteFile('C:\Windows\system32\plknzcvu?о8w??yw`ю?.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-710847892-317017932-351803322-1001\Software\Microsoft\Windows\CurrentVersion\Run','FileSystem');
DeleteFile('C:\Windows\system32\trfpbbuu”f„u?о?w=і=w.exe');
DeleteFile(StartupFolder + '\HtXvOT1OWjQ.exe');
BC_ImportAll;
ExecuteSysClean;
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
ExecuteWizard('TSW',2,2,true);
BC_Activate;
ExecuteRepair(14);
RebootWindows(true);
end else
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
+ Сделайте лог полного сканирования MBAM
Paula rhei.
Поддержать проект можно тут
Junior Member
Вес репутации
45
скрипты выполнил, все логи повторил, мбам сделал, карантин отправил.
Спасибо, что помогаете
Вложения
Удалите в МВАМ только указанные ниже записи
Код:
Files Detected: 44
C:\Users\Daymon\AppData\Local\Temp\F11E.tmp (Trojan.Agent.PE5) -> No action taken.
C:\Users\Daymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HtXvOT1OWjQ.exe (Trojan.Agent.PE5) -> No action taken.
D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0384458.exe (Worm.Magania) -> No action taken.
D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0384958.exe (RiskWare.Tool.CK) -> No action taken.
D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385007.exe (Malware.Packer.Gen) -> No action taken.
D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0384966.exe (Malware.Packer.Gen) -> No action taken.
D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385136.exe (RiskWare.Tool.CK) -> No action taken.
D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385137.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385139.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385140.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385143.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385255.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385311.exe (RiskWare.Tool.CK) -> No action taken.
D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385314.exe (RiskWare.Tool.CK) -> No action taken.
D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385590.exe (RiskWare.Tool.CK) -> No action taken.
C:\Users\Daymon\AppData\Roaming\chkntfs.dat (Malware.Trace) -> No action taken.
c:\users\daymon\appdata\roaming\igfxtray.dat (Malware.Trace) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
45
большое спасибо, проблема решена! все пароли поменял, всё обновил, надеюсь больше не попадаться)
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 10 В ходе лечения вредоносные программы в карантинах не обнаружены