Тоже модифицированный Win32/TrojanDownloader.Carberp.AD
Здраствуйте, при входе в систему (WinXP SP3) NOD32 ругается "Оперативная память » explorer.exe(1292) вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна". При работе в интернете постоянно выскакивает сообщение что заблокированы URL "warmo.ru/...", на диске C появилась какая-то папка xKrpso2mizLCU4s которая неудаляется. AVPtool выдаёт синий экран.., в безопасном режиме недоступен пользователь под которым всё это происходит, NOD32 при полном сканировании не обнаруживает ничего.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Sanek81, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Сделал, нашёл какие-то угрозы, нажал чтобы все удалить вроде после перезагрузки помогло, затем перезагрузился ещё раз зашёл в безопасный режим чтобы удалить ту папку xKrpso2mizLCU4s, затем загрузился опять в нормальном режиме, и снова всё тоже самое, и папка возродилась... TDSSKiller больше ничего не находит, если указать параметр "проверять цифровые подписи", то обнаруживает ещё 9 угроз. Кстати я смотрю вот в этой теме примерно такаяже проблема http://virusinfo.info/showthread.php?t=117629
Последний раз редактировалось Sanek81; 13.03.2012 в 18:38.
Ок, всё прикладываю, TDSKiller логи - первый (по времени) лог, когда он что-то нашёл и я удалил, второй, когда уже всё было чисто, третий, когда поставил галочку на проверку цифровой подписи.
Обнаруженные ключи в реестре: 1
HKLM\SOFTWARE\StimulProfit (Adware.Agent) -> Действие не было предпринято.
Обнаруженные папки: 7
C:\Documents and Settings\All Users\Application Data\MPK (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\1 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\2 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\3 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\4 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\CPDA (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\CPDM (Refog.Keylogger) -> Действие не было предпринято.
Обнаруженные файлы: 50
C:\System Volume Information\_restore{A1321A7B-CA42-4975-8CB6-7939B1224946}\RP6\A0005538.exe (Malware.Packer.Gen) -> Действие не было предпринято.
D:\System Volume Information\_restore{E60BAAA4-FDE2-4E8E-8419-39E30339CD7F}\RP53\A0013583.exe (Packer.ModifiedUPX) -> Действие не было предпринято.
E:\System Volume Information\_restore{6C084194-93C1-41D3-B10E-24C7B606E9F4}\RP1\A0003507.exe (Virus.Expiro) -> Действие не было предпринято.
E:\System Volume Information\_restore{A1321A7B-CA42-4975-8CB6-7939B1224946}\RP1\A0000120.exe (Malware.Packer.Gen) -> Действие не было предпринято.
E:\System Volume Information\_restore{A1321A7B-CA42-4975-8CB6-7939B1224946}\RP1\A0000315.exe (Trojan.Downloader) -> Действие не было предпринято.
E:\System Volume Information\_restore{A1321A7B-CA42-4975-8CB6-7939B1224946}\RP1\A0000463.exe (Malware.Gen) -> Действие не было предпринято.
E:\System Volume Information\_restore{E60BAAA4-FDE2-4E8E-8419-39E30339CD7F}\RP5\A0004117.exe (Malware.Packer.Gen) -> Действие не было предпринято.
E:\System Volume Information\_restore{E60BAAA4-FDE2-4E8E-8419-39E30339CD7F}\RP5\A0004311.exe (Trojan.Downloader) -> Действие не было предпринято.
E:\System Volume Information\_restore{E60BAAA4-FDE2-4E8E-8419-39E30339CD7F}\RP5\A0004456.exe (Malware.Gen) -> Действие не было предпринято.
E:\System Volume Information\_restore{E60BAAA4-FDE2-4E8E-8419-39E30339CD7F}\RP6\A0005376.exe (Malware.Packer) -> Действие не было предпринято.
E:\System Volume Information\_restore{E60BAAA4-FDE2-4E8E-8419-39E30339CD7F}\RP6\A0005871.exe (Trojan.Agent) -> Действие не было предпринято.
E:\System Volume Information\_restore{E60BAAA4-FDE2-4E8E-8419-39E30339CD7F}\RP6\A0005875.EXE (Joke.Xmas) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\key.bin (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\M0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\S0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\1\D0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\1\S0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\2\D0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\2\S0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\3\D0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\3\S0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\4\D0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\4\I40727_9575184375 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\4\I40727_9592995833 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\4\I40727_9601206134 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\4\I40727_9606705671 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\4\S0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\CPDM\cpfm.bin (Refog.Keylogger) -> Действие не было предпринято.
Всё выполнил, проблема не исчезла. После перезагрузки сначала подумал что всё нормально, даже папка xKrpso2mizLCU4s удалилась, но потом снова создалась, и все те же самые симптомы.. Прикладываю логи RSIT
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: