Оперативная память » explorer.exe(932) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

Сообщений: 7

Баллов: 3

Регистрация: 27.01.2012

Размещено 27.01.2012 19:11:06

Сегодня во время открытия интернет странички заподозрил неладное - в автозагрузку проник fe9iUL0gqx4.exe, не удалось запретить туда доступ.
Сразу после этого вторжения я заметил 3 процесса svchost.exe которые трудились над тем, чтоб загрузить ЦП на 100%. Также пропала возможность увидеть содержимое диска С. Я запустил сканирование.
После сканирования системы Нодом32 он выдал сообщение о "Оперативная память » explorer.exe(932) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна". Естественно я предположил что эти 2 события связаны между собой, т.к раньше этого Win32/TrojanDownloader.Carberp.AD не было.
ПОчитав сообщения и увидев что я не одинок в своей проблеме хотелось бы получить соответствующие рекомендации к действию.
Я уже скачал uVS и создал полный образ автозапуска
Подскажите пожалуйста, что делать дальше? Заранее спасибо!

Прикрепленные файлы

MICROSOF-8B8536_2012-01-27_18-48-11.rar (251.45 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.01.2012 19:21:57

выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

Код
;uVS v3.73.1 script [http://dsrt.dyndns.org] addsgn A7679B1BB9924C720BBE0FDB4BA2A16F70E0FB1E44CD1F780607D1D605BCCCA44A38C357BD91951A4113EE9C2C06A1DE55DFE8F191D6E646BE9F7007C706A1B7 8 a variant of Win32/Kryptik.ZOD [NOD32] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\FE9IUL0GQX4.EXE bl A7D0C556A426FAB92512ADF42D8A1BFB 180736 delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\FE9IUL0GQX4.EXE chklst delvir deltmp delnfr restart

Код


;uVS v3.73.1 script [http://dsrt.dyndns.org]

addsgn A7679B1BB9924C720BBE0FDB4BA2A16F70E0FB1E44CD1F780607D1D605BCCCA44A38C357BD91951A4113EE9C2C06A1DE55DFE8F191D6E646BE9F7007C706A1B7 8 a variant of Win32/Kryptik.ZOD [NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\FE9IUL0GQX4.EXE
bl A7D0C556A426FAB92512ADF42D8A1BFB 180736
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\FE9IUL0GQX4.EXE
chklst
delvir
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------
далее,
сделайте дополнительно проверку системы в малваребайт

Изменено: santy - 27.01.2012 19:22:46

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 27.01.2012

Размещено 27.01.2012 20:02:50

выполнил все, как Вы сказали, после перезагрузки никаких проблем пока не наблюдается, fe9iUL0gqx4.exe благополучно удалился, диск С отображается, с svchost все впорядке. Огромное спасибо за столь своевременный и полезный отклик! Сейчас разберусь с проверкой системы в malwarebytes

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.01.2012 20:14:42

хорошо, ждем лог малваребайт

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 27.01.2012

Размещено 27.01.2012 21:17:02

Все проделал согласно написаному, вот отчет. Кажется что-то попалось еще.

Прикрепленные файлы

mbam-log-2012-01-27 (21-10-00).txt (3.61 КБ)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 28.01.2012 00:53:21

Вот это оставить

Код
Объекты реестра обнаружены: 4 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\|NoSMHelp (PUM.Hijack.Help) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center\|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center\|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center\|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Код

Объекты реестра обнаружены:  4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoSMHelp (PUM.Hijack.Help) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Остальное удалить.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2012 10:18:42

далее,
выполните наши рекомендации по безопасной работе

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 27.01.2012

Размещено 28.01.2012 10:29:18

Все сделал согласно написанному. Проблем никаких нет. Огромное спасибо Вам!!! А можно еще кое-что узнать - у меня в корневой папке диска С появилась папка с названием 46u9unUmrWWUKvH, раньше её не было. Это как то связано с тем вирусом?

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 28.01.2012 11:20:13

Да с ним, можете папку удалить.