explorer.exe(1592) - модифицированный Win32/TrojanDownloader.Carberp.AH

[Daymon]

Здравствуйте. И я попался на этот троян( Вероятно через необновлённую Java - злоумышленники получили доступ (как минимум) к моей почте на gmail и к аккаунту в твиттере, через который начали спамить ретвитами.
Eset Smart Security находит в оперативной памяти это: "explorer.exe(1592) - модифицированный Win32/TrojanDownloader.Carberp.AH". Если снять explorer.exe тот же самый червь обнаруживается в svhost.

Сканил компьютер сегодняшним Dr.WebCureIt! - как результат было удалено 5 других троянов, текущая же проболема осталась.
Помогите, пожалуйста.

[Info_bot]

Уважаемый(ая) Daymon, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[миднайт]

В AVZ выполните скрипт:

Код:

var StartupFolder:string;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{EF99BD32-C1FB-11D2-892F-0090271D4F88}');
 QuarantineFile(StartupFolder + '\HtXvOT1OWjQ.exe','');
 QuarantineFile('C:\Windows\system32\trfpbbuu”f„u?о?w=і=w.exe','');
 QuarantineFile('C:\Windows\system32\plknzcvu?о8w??yw`ю?.exe','');
 QuarantineFile('C:\Windows\System32\Drivers\Nsynas32.sys','');
 QuarantineFile('C:\Users\UpdatusUser\AppData\Local\Temp\m2i84iq9.exe','');
 if FileExists('C:\WINDOWS\system32\userinit.exe') 
then begin
 DeleteFile('C:\Users\UpdatusUser\AppData\Local\Temp\m2i84iq9.exe');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-710847892-317017932-351803322-1001\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 DeleteFile('C:\Windows\system32\plknzcvu?о8w??yw`ю?.exe');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-710847892-317017932-351803322-1001\Software\Microsoft\Windows\CurrentVersion\Run','FileSystem');
 DeleteFile('C:\Windows\system32\trfpbbuu”f„u?о?w=і=w.exe');
 DeleteFile(StartupFolder + '\HtXvOT1OWjQ.exe');
BC_ImportAll;
ExecuteSysClean;
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
ExecuteWizard('TSW',2,2,true);
BC_Activate;
ExecuteRepair(14);
RebootWindows(true);
 end else
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
+ Сделайте лог полного сканирования MBAM

[Daymon]

скрипты выполнил, все логи повторил, мбам сделал, карантин отправил.
Спасибо, что помогаете

[thyrex]

Удалите в МВАМ только указанные ниже записи

Код:

Files Detected: 44
C:\Users\Daymon\AppData\Local\Temp\F11E.tmp (Trojan.Agent.PE5) -> No action taken.
C:\Users\Daymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HtXvOT1OWjQ.exe (Trojan.Agent.PE5) -> No action taken.
D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0384458.exe (Worm.Magania) -> No action taken.
D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0384958.exe (RiskWare.Tool.CK) -> No action taken.
D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385007.exe (Malware.Packer.Gen) -> No action taken.
D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0384966.exe (Malware.Packer.Gen) -> No action taken.
D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385136.exe (RiskWare.Tool.CK) -> No action taken.
D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385137.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385139.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385140.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385143.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385255.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385311.exe (RiskWare.Tool.CK) -> No action taken.
D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385314.exe (RiskWare.Tool.CK) -> No action taken.
D:\System Volume Information\_restore{0E62FFD0-8822-4F4C-9ECF-A5B16094CCC7}\RP871\A0385590.exe (RiskWare.Tool.CK) -> No action taken.
C:\Users\Daymon\AppData\Roaming\chkntfs.dat (Malware.Trace) -> No action taken.
c:\users\daymon\appdata\roaming\igfxtray.dat (Malware.Trace) -> No action taken.

[Daymon]

большое спасибо, проблема решена! все пароли поменял, всё обновил, надеюсь больше не попадаться)

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 10
• В ходе лечения вредоносные программы в карантинах не обнаружены