explorer.exe(1876) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF

Gribnik · 19.05.2012, 12:23

Помогите пожалуста избавится от этой гадости

KaAd · 19.05.2012, 12:24

Gribnik, выполняйте http://pchelpforum.ru/f26/t6442/

Gribnik · 19.05.2012, 12:45

Прогнал Malwarebytes Anti-Malware вот отчет:
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Версия базы данных: v2012.05.19.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Admin :: MICROSOF-FD6838 [администратор]

19.05.2012 11:36:02
mbam-log-2012-05-19 (11-41-37).txt

Тип сканирования: Быстрое сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 185065
Времени прошло: 4 минут , 24 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 6
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext \Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext \Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext \PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext \Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext \Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext \PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 2
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Параметры: ;бГzК;XAі0цm»Бµ -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Параметры: -> Действие не было предпринято.

Объекты реестра обнаружены: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\Explorer|NoSMHelp (PUM.Hijack.Help) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 1
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

(конец)

KaAd · 19.05.2012, 12:46

Gribnik, выполняйте инструкцию и выкладывайте ссылки на логи!

safety · 19.05.2012, 12:51

образ автозапуска нужен
http://pchelpforum.ru/showpost.php?p=593305&postcount=3

~Данил~ · 19.05.2012, 12:54

Цитата:

Сообщение от Gribnik

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\Explorer|NoSMHelp (PUM.Hijack.Help) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

отсюда галочки снимите, остальное можете удалить
и приложите отчеты других программ

Gribnik · 19.05.2012, 13:20

http://rghost.ru/38162434

maksimog · 19.05.2012, 13:53

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код:

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RJLX8HVUFI8.EXE
bl 078190D8F31C688195900FFE56B56627 143360
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RJLX8HVUFI8.EXE
delref HTTP://STARTSEAR.CH/?AFF=1
exec MSIEXEC.EXE /X{35015585-072D-4D95-9509-E6205C6F7991}
regt 1
regt 2
regt 3
regt 7
regt 18
deltmp
delnfr
restart

И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда sendvirus2011@gmail.com

Сообщить о результате.

Gribnik · 19.05.2012, 14:44

Большое спасибо друзья! Очень помогли, все излечилось.))))

safety · 19.05.2012, 14:51

Выполните скрипт в AVZ при наличии доступа в интернет:
--------

Код:

begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false)
 else MessageDlg('Часто используемые уязвимости не обнаружены.', mtInformation, mbOk, 0);
end.

---------
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.

19.05.2012, 12:23	#1 (ссылка)
Gribnik Новичок Регистрация: 19.05.2012 Сообщений: 4 Репутация: 0	explorer.exe(1876) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF Помогите пожалуста избавится от этой гадости

19.05.2012, 13:53	#8 (ссылка)
maksimog Мастер Регистрация: 08.07.2011 Сообщений: 6,292 Репутация: 631	В папке с программой UVS будет файл script.cmd Запустить файл, запустится окно программы для ввода скрипта, скопировать скрипт написанный ниже и вставить в окно программы. ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ! Код: ;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RJLX8HVUFI8.EXE bl 078190D8F31C688195900FFE56B56627 143360 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RJLX8HVUFI8.EXE delref HTTP://STARTSEAR.CH/?AFF=1 exec MSIEXEC.EXE /X{35015585-072D-4D95-9509-E6205C6F7991} regt 1 regt 2 regt 3 regt 7 regt 18 deltmp delnfr restart И жмем кнопку Выполнить. На запросы программы по удалению жмите ДА ПК перезагрузится. В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда sendvirus2011@gmail.com Сообщить о результате.

19.05.2012, 14:51	#10 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	Выполните скрипт в AVZ при наличии доступа в интернет: -------- Код: begin if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt'); If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt') Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false) else MessageDlg('Часто используемые уязвимости не обнаружены.', mtInformation, mbOk, 0); end. --------- После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
explorer.exe(252) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD	m182	Безопасность	3	21.03.2012 01:14
explorer.exe(824) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD	else	Безопасность	4	10.03.2012 22:11
explorer.exe(264) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF	yursio	Безопасность	4	07.03.2012 11:31
explorer.exe(264) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF	Partizan84	Безопасность	5	03.03.2012 12:06
explorer.exe(192) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD	vikindom	Безопасность	6	08.01.2012 15:47

19.05.2012, 12:24	#2 (ссылка)
KaAd Эксперт Регистрация: 28.09.2010 Сообщений: 18,283 Записей в блоге: 6 Репутация: 1712	Gribnik, выполняйте http://pchelpforum.ru/f26/t6442/

19.05.2012, 12:45	#3 (ссылка)
Gribnik Новичок Регистрация: 19.05.2012 Сообщений: 4 Репутация: 0	Прогнал Malwarebytes Anti-Malware вот отчет: Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Версия базы данных: v2012.05.19.02 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Admin :: MICROSOF-FD6838 [администратор] 19.05.2012 11:36:02 mbam-log-2012-05-19 (11-41-37).txt Тип сканирования: Быстрое сканирование Опции сканирования включены: Память \| Запуск \| Реестр \| Файловая система \| Эвристика/Дополнительно \| Эвристика/Шурикен \| PUP \| PUM Опции сканирования отключены: P2P Просканированные объекты: 185065 Времени прошло: 4 минут , 24 секунд Обнаруженные процессы в памяти: 0 (Вредоносных программ не обнаружено) Обнаруженные модули в памяти: 0 (Вредоносных программ не обнаружено) Обнаруженные ключи в реестре: 6 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext \Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext \Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext \PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext \Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext \Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext \PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Действие не было предпринято. Обнаруженные параметры в реестре: 2 HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Параметры: ;бГzК;XAі0цm»Бµ -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Параметры: -> Действие не было предпринято. Объекты реестра обнаружены: 2 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\|NoSMHelp (PUM.Hijack.Help) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center\|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. Обнаруженные папки: 0 (Вредоносных программ не обнаружено) Обнаруженные файлы: 1 C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято. (конец)

19.05.2012, 12:46	#4 (ссылка)
KaAd Эксперт Регистрация: 28.09.2010 Сообщений: 18,283 Записей в блоге: 6 Репутация: 1712	Gribnik, выполняйте инструкцию и выкладывайте ссылки на логи!

19.05.2012, 12:51	#5 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	образ автозапуска нужен http://pchelpforum.ru/showpost.php?p=593305&postcount=3

19.05.2012, 13:20	#7 (ссылка)
Gribnik Новичок Регистрация: 19.05.2012 Сообщений: 4 Репутация: 0	http://rghost.ru/38162434

19.05.2012, 14:44	#9 (ссылка)
Gribnik Новичок Регистрация: 19.05.2012 Сообщений: 4 Репутация: 0	Большое спасибо друзья! Очень помогли, все излечилось.))))

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads