Перейти к содержанию
Правила раздела

explorer.exe(1896) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа

Nice42ru

От Nice42ru
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Nice42ru Новичок

Nice42ru

Опубликовано
Опубликовано

Опять схватил такой вирус, как он меня достал, я никаких незнакомых .exe не открываю, а потом неожиданно вижу что он у меня опять появился, откуда он вообще берётся?

 

базы антивируса обновил

 

Вот логи:

 

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
 begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
 end;
QuarantineFile('C:\Users\Никита\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ZG9vvAlV3Io.exe','');
TerminateProcessByName('c:\users\843e~1\appdata\local\temp\jbroasd.exe');
QuarantineFile('c:\users\843e~1\appdata\local\temp\jbroasd.exe','');
DeleteFile('c:\users\843e~1\appdata\local\temp\jbroasd.exe');
DeleteFile('C:\Users\Никита\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ZG9vvAlV3Io.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Обновите базы AVZ

 

Удалите вручную

C:\UvzyYTPTzNlxdQt
C:\Users\Никита\AppData\Roaming\UvzyYTPTzNlxdQt

 

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

удалите вот это в MBAM:

C:\Users\Никита\Desktop\avz4\Quarantine\2012-05-15\avz00001.dta (Spyware.Password) -> Действие не было предпринято.
C:\Users\Никита\Desktop\avz4\Quarantine\2012-05-16\avz00001.dta (Trojan.Agent.CK) -> Действие не было предпринято.
D:\System Volume Information\_restore{3C0014A0-EDCD-4B12-AB5E-1819BD4F09C2}\RP92\A0046798.exe (PUP.PasswordsPro) -> Действие не было предпринято.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('C:\Users\Никита\AppData\Roaming\Thinstall\Restorator 2007 Update 2\40000024600002i\Restorator.exe ','MBAM:Rootkit.Dropper ');
QuarantineFile('C:\Users\Никита\Desktop\FVCHEAT\1.exe.lnk ','MBAM:Spyware.Banker ');
QuarantineFile('C:\Users\Никита\Desktop\FVCHEAT\11_FvCheat.exe ','MBAM:Spyware.Banker ');
QuarantineFile('C:\Users\Никита\Desktop\FVCHEAT\FvCheat.exe ','MBAM:Spyware.Banker ');
QuarantineFile('C:\Program Files\TNod User & Password Finder\TNODUP.exe ','MBAM:Trojan.Agent.CK ');
QuarantineFile('C:\Program Files\TNod User & Password Finder\uninst-tnod.exe ','MBAM:Trojan.Agent.CK ');
QuarantineFile('C:\Program Files\WebCam Looker\plugins\TheoraDSF\asyncflt.dll ','MBAM:Malware.Packer.Gen ');
QuarantineFile('C:\Program Files\WebcamMax\patch.exe ','MBAM:PUP.Hacktool.Patcher ');
QuarantineFile('D:\Игры\The Haunted - Hells Reach\Change Name.exe ','MBAM:Trojan.Pincher ');
QuarantineFile('D:\Игры\The Haunted - Hells Reach\Launch Haunted Hells Reach.exe ','MBAM:Trojan.Pincher ');
QuarantineFile('D:\Игры\Warcraft III - TFT v.1.26a\BNetGatewayEditor.exe ','MBAM:Trojan.LDPinch ');
QuarantineFile('D:\Игры\LIMBO\TDU.exe ','MBAM:Packer.ModifiedUPX ');
QuarantineFile('D:\Игры\Half-Life 2 Deathmatch\hl2mp.exe ','MBAM:Trojan.Downloader ');
QuarantineFile('D:\старый диск\Documents and Settings\Admin\Рабочий стол\Epic Fail Cannon.exe ','MBAM:PUP.HackTool.LOIC ');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • nDaDe
      Постоянно крашится explorer.exe
      От nDaDe
      При загрузке в обычном режиме крашится explorer.exe (крашится, запускается и т.д.)
      До этого друг проверял с помощью dr.web cure it и KVRT, но логов не сохранилось. После этого недели 2 работало нормально, сейчас ситуация повторилась.
      Сейчас проверка ничего не находит.
      Можно глянуть логи, может остались еще следы, раз ситуация повторилась.
      CollectionLog-2025.01.05-16.46.zip
    • pudge_djadj
      Майнер маскируется под explorer.exe
      От pudge_djadj
      Здравствуйте, форумчане, у меня случилась пренеприятная ситуация, схватил майнер, маскируется под проводник, при запуске диспетчера задач и редактора реестра прекращает активность, обнаружил с помощью мониторинга ресурсов амд + system informer (почему-то его майнер не боится). Путь процесса ведет к обычному проводнику, попытки детекта через cureit, AV block remover и microsoft defender плодов не дали. Помогите, пожалуйста, забороть гада.
       

      Вот путь, по которому ведет данный процесс:
       
    • User193
      HELP! Explorer.exe! Проводник кушает ОЗУ, норма ли?
      От User193
      Ребят, привет! Гляньте на скрин, плиз.
      Не пойму, майнер что-ли сидит или почему так нагружено озу при нахождении в покое.
      Проводник кушает 250 мб, это же не норма? 


    • wolfson
      На компьютере, вероятно, был майнер
      От wolfson
      Доброго дня. Столкнулся с проблемой. На компьютере, вероятно, был майнер который загружал ссд и оперативку. Решил переустановить виндовс 10, но к несчастью, после перезагрузки, всё заканчивается на выборе носителя с установенной ОС Windows с сайта производителя. До этого хотел обновить биос и всё делал по инструкции с сайта материнки, но процесс зависает и пишет, что файл поврежден. После, по видосикам с ютуба, скачал avbr и miner search, всё делал по инструкции. И, вроде как, всё хорошо, но переустановить виндовс всё так же не получается. С биосом такая же проблема. 
      Люди добрые, огромнейшая просьба подсказать как справиться с данной проблемой. Спасибо заранее.
    • misska
      Проверка на вирусы, шпионы, кейлоггеры, сталкерская программа
      От misska
      Добрый день,
       
      моя система взломана: есть доступ к монитору, все видится, считывается, злоумышленник знает все пароли от соц. сетей, мессенджера и пр.
      В мессенджере, в настройках безопасности, чужие (другие) устройства не отображаются, все - только мои.
      Антивирус вирусов не обнаруживает, но просит закрыть какой-то порт...
       
      Внизу прилагаются отчеты
       
       

      CollectionLog-2025.02.22-18.18.zip
×
×
  • Создать...