explorer.exe(1128) вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа

Сообщений: 5

Баллов: 2

Регистрация: 07.03.2012

Размещено 07.03.2012 20:39:07

Непонятно откуда подцепил этот вирус. Каждый раз когда включаю ноутбук, появляется надпись в ESET NOD 32 4.0 "Найден вирус explorer.exe(320) Win32/TrojanDownloader.Carberp.AD" причем каждый раз в скобках после "explorer.exe" появляются разные цифры.

образ автозапуска в uVS:
http://rghost.ru/36899485

Изменено: id118456372 - 07.03.2012 20:52:30

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 07.03.2012 20:42:38

Да мистика просто, вот это наверно поможет помочь
http://forum.esetnod32.ru/forum9/topic2687/

Сообщений: 5

Баллов: 2

Регистрация: 07.03.2012

Размещено 07.03.2012 20:48:10

Цитата
zloyDi пишет: Да мистика просто, вот это наверно поможет помочь http://forum.esetnod32.ru/forum9/topic2687/

Вот сделал:

http://rghost.ru/36899485

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 07.03.2012 20:56:02

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\ALEX\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\YNRPC61WEUC.EXE bl 1C6BA32F0C1A519D89C3229040C60E6C 187392 delall %SystemDrive%\USERS\ALEX\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\YNRPC61WEUC.EXE exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} exec MSIEXEC.EXE /X{79155F2B-9895-49D7-8612-D92580E0DE5B} exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL regt 1 regt 2 regt 3 regt 7 regt 14 regt 18 deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\ALEX\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\YNRPC61WEUC.EXE
bl 1C6BA32F0C1A519D89C3229040C60E6C 187392
delall %SystemDrive%\USERS\ALEX\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\YNRPC61WEUC.EXE
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec MSIEXEC.EXE /X{79155F2B-9895-49D7-8612-D92580E0DE5B}
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
regt 1
regt 2
regt 3
regt 7
regt 14
regt 18
deltmp
delnfr
restart

И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда [email protected]

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа

Сообщений: 5

Баллов: 2

Регистрация: 07.03.2012

Размещено 07.03.2012 21:09:07

Всё выполнил:
1)Выполнил скрипт в uVS, при выполнении скрипта:
-Удалился плагин KMPlayer
-Изменились настройки Bonjour.exe
-Удалился GuardMailRu.exe
2)Архив zoo отправил на указанный адрес с паролем virus
3)Компьютер перезагрузился, ESET NOD 32 4.0 вируса не обнаружил.
Осмеюсь сказать что проблема решена.

Сейчас выполняю лог программой MBAM

Сообщений: 5

Баллов: 2

Регистрация: 07.03.2012

Размещено 07.03.2012 21:22:48

Выполнил сканирование MBAM:

вот лог:
http://rghost.ru/36900188

Мне удалять все объекты? Или только те на которых программа поставила галочку?

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 07.03.2012 22:34:42

Удалять все, после этого

Далее выполните наши рекомендации пользователям
http://forum.esetnod32.ru/forum9/topic3998/

Сообщений: 5

Баллов: 2

Регистрация: 07.03.2012

Размещено 08.03.2012 07:20:03

Теперь я окончательно могу сказать что проблема решена.

Спасибо за помощь!Дай Бог вам здоровичка.

[ Закрыто ] explorer.exe(1128) вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа , очистка невозможна