explorer.exe(1896) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа

[Nice42ru]

Опять схватил такой вирус, как он меня достал, я никаких незнакомых .exe не открываю, а потом неожиданно вижу что он у меня опять появился, откуда он вообще берётся?

 

базы антивируса обновил

 

Вот логи:

 

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

[icotonev]

Что здесь происходит? ..

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
 begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
 end;
QuarantineFile('C:\Users\Никита\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ZG9vvAlV3Io.exe','');
TerminateProcessByName('c:\users\843e~1\appdata\local\temp\jbroasd.exe');
QuarantineFile('c:\users\843e~1\appdata\local\temp\jbroasd.exe','');
DeleteFile('c:\users\843e~1\appdata\local\temp\jbroasd.exe');
DeleteFile('C:\Users\Никита\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ZG9vvAlV3Io.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Обновите базы AVZ

 

Удалите вручную

C:\UvzyYTPTzNlxdQt
C:\Users\Никита\AppData\Roaming\UvzyYTPTzNlxdQt

 

Сделайте новые логи

[Nice42ru]

Что здесь происходит? ..

 

 

Это на ноутбуке, там я вам ответил, такая же проблема появилась и на стационарном компьютере, о котором и тема

[icotonev]

Я понял,спасибо..!

[Nice42ru]

Всё выполнил, вот логи

 

log.txt

info.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five]

у Вас установлен MBAM.

обновите базы и сделайте лог полной проверки.

лог приложите.

[Nice42ru]

Базы обновил, вот лог:

 

mbam_log_2012_05_17__17_44_20_.txt

[Roman_Five]

удалите вот это в MBAM:

C:\Users\Никита\Desktop\avz4\Quarantine\2012-05-15\avz00001.dta (Spyware.Password) -> Действие не было предпринято.
C:\Users\Никита\Desktop\avz4\Quarantine\2012-05-16\avz00001.dta (Trojan.Agent.CK) -> Действие не было предпринято.
D:\System Volume Information\_restore{3C0014A0-EDCD-4B12-AB5E-1819BD4F09C2}\RP92\A0046798.exe (PUP.PasswordsPro) -> Действие не было предпринято.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('C:\Users\Никита\AppData\Roaming\Thinstall\Restorator 2007 Update 2\40000024600002i\Restorator.exe ','MBAM:Rootkit.Dropper ');
QuarantineFile('C:\Users\Никита\Desktop\FVCHEAT\1.exe.lnk ','MBAM:Spyware.Banker ');
QuarantineFile('C:\Users\Никита\Desktop\FVCHEAT\11_FvCheat.exe ','MBAM:Spyware.Banker ');
QuarantineFile('C:\Users\Никита\Desktop\FVCHEAT\FvCheat.exe ','MBAM:Spyware.Banker ');
QuarantineFile('C:\Program Files\TNod User & Password Finder\TNODUP.exe ','MBAM:Trojan.Agent.CK ');
QuarantineFile('C:\Program Files\TNod User & Password Finder\uninst-tnod.exe ','MBAM:Trojan.Agent.CK ');
QuarantineFile('C:\Program Files\WebCam Looker\plugins\TheoraDSF\asyncflt.dll ','MBAM:Malware.Packer.Gen ');
QuarantineFile('C:\Program Files\WebcamMax\patch.exe ','MBAM:PUP.Hacktool.Patcher ');
QuarantineFile('D:\Игры\The Haunted - Hells Reach\Change Name.exe ','MBAM:Trojan.Pincher ');
QuarantineFile('D:\Игры\The Haunted - Hells Reach\Launch Haunted Hells Reach.exe ','MBAM:Trojan.Pincher ');
QuarantineFile('D:\Игры\Warcraft III - TFT v.1.26a\BNetGatewayEditor.exe ','MBAM:Trojan.LDPinch ');
QuarantineFile('D:\Игры\LIMBO\TDU.exe ','MBAM:Packer.ModifiedUPX ');
QuarantineFile('D:\Игры\Half-Life 2 Deathmatch\hl2mp.exe ','MBAM:Trojan.Downloader ');
QuarantineFile('D:\старый диск\Documents and Settings\Admin\Рабочий стол\Epic Fail Cannon.exe ','MBAM:PUP.HackTool.LOIC ');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.