Оперативная память » explorer.exe(1868) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD , как удалить заразу?

Здравствуйте, нод выявил вот такую штуку в оперативке
Оперативная память » explorer.exe(1868) - вероятно модифицированный  Win32/TrojanDownloader.Carberp.AD
как избавиться от неё?

лог
http://rghost.ru/37166095

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена;

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится;
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected]. если отослать архив не получается по различным причинам, то закачиваем этот архив на файлообменник - rghost.ru и оставляем ссылку на этот архив в этой теме.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда.

обновления для mbam скачать не смогу, так как у меня сейчас почему то пишет "ограниченный доступ к сети", это может связано с вирусом?

Да, именно с ним и связано.
Выполните команду в командной строке:
netsh winsock reset
Перезагрузитесь и настройте сетевой подключение заново

перезагрузился, теперь надо mbam проверку сделать/?

uvs лог
http://rghost.ru/37167339

Лог Mbam делайте.
в логе uVS про Webalta нет ничего.

mbam почему то зависает при проверке, 3 раза уже запускал, при этом комп подвисает вместе с программой

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Версия базы данных:  v2012.03.22.04

22.03.2012 22:26:24
mbam-log-2012-03-22 (23-15-43).txt

Тип сканирования:  Быстрое сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты:  213107
Времени прошло:  48 минут , 58 секунд

Обнаруженные процессы в памяти:  0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти:  0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре:  1
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WEBALTASERVIC­E (Adware.Webalta) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены:  1
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore|DisableConfig (Windows.Tool.Disabled) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Обнаруженные папки:  0
(Вредоносных программ не обнаружено)

Обнаруженные файлы:  1
C:\Documents and Settings\All Users\Application Data\111 (Trojan.Downloader) -> Действие не было предпринято.

(конец)

Удалить все. Перезагрузиться. Повторить лог.