Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна , обнаружено прграммой нод 32

1 2 След.
RSS
 
aragorn
aragorn
Пользователь
Сообщений: 23
Баллов: 11
Регистрация: 07.01.2012
Размещено 11.06.2012 23:04:39
помогите. Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

архив с образом автозапуска
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 12.06.2012 03:28:52
Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
Код
;;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref HTTP://GLOBAL.ACER.COM/
delref HTTP://GOOGLE.ICQ.COM
delref HTTP://JS.STATIC.YANDEX.NET/JQUERY/1.3.2/_JQUERY.JS
delref HTTP://MAIL.RU/CNT/7898
delref HTTP://UK.RD.YAHOO.COM/CUSTOMIZE/YCOMP/DEFAULTS/SP/*HTTP://UK.YAHOO.COM
delref HTTP://WWW.RUSRADIO.RU/UPLOAD/IMAGES/BLANK.GIF
delref HTTP://WWW.RUSRADIO.RU/UPLOAD/IMAGES/POPUP_ONLINE_BG.JPG
deltmp
delnfr
fixvbr C: 5
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится;
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Также сделайте лог программой TDSSkiller. Ничего оттуда не удалять. Лог будет лежать в корне системного раздела (обычно диск С).
Правильно заданный вопрос - это уже половина ответа
 
aragorn
aragorn
Пользователь
Сообщений: 23
Баллов: 11
Регистрация: 07.01.2012
Размещено 12.06.2012 10:27:19
вот лог Mbam

и лог программой TDSSkiller,

но Nod всё равно показывает: Оперативная память = explorer.exe(504) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 12.06.2012 10:31:54
хм, второй случай уже, когда tdsskiller не видит бутовый Carberp.
--------
сделайте новый образ автозапуска в uVS
[ Как создать образ автозапуска? ]
 
aragorn
aragorn
Пользователь
Сообщений: 23
Баллов: 11
Регистрация: 07.01.2012
Размещено 12.06.2012 11:25:33
новый образ автозапуска в uVS
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 12.06.2012 13:50:56
да, Carberp на месте
придется чистить из под Winpe&uVS
---------
выполните такую команду:
tdsskiller -qboot -qpath c:\tdsskiller

сделайте образ из под Winpe
http://forum.esetnod32.ru/forum27/topic2102/

образ автозапуска полученный из под WinPe и архив папки c:\tdsskiller добавить на форум
[ Как создать образ автозапуска? ]
 
aragorn
aragorn
Пользователь
Сообщений: 23
Баллов: 11
Регистрация: 07.01.2012
Размещено 12.06.2012 15:00:48
простите, не могу разобраться с этим "tdsskiller -qboot -qpath c:\tdsskiller" из вашего сообщения, что нужно сделать?
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 12.06.2012 15:11:04
если есть какой либо файловый менеджер, например far или TC, надо перейти в каталог, где лежит tdsskiller (а он у вас есть) и набрать в командной строке эту команду.
Цитата
tdsskiller.exe -qboot -qpath c:\tdsskiller
tdsskiller должен при этом скопировать загрузчики для анализа с таким результатом


потом можно образ сделать из под WinpePE
Изменено: santy - 12.06.2012 15:15:23
[ Как создать образ автозапуска? ]
 
aragorn
aragorn
Пользователь
Сообщений: 23
Баллов: 11
Регистрация: 07.01.2012
Размещено 23.06.2012 03:02:08
Вот что получилось
образ из под WinPe и tdsskiller
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 23.06.2012 06:36:52
выполните в uVS (из под Winpe) скрипт из файла

файл скрипта скачать отсюда
http://rghost.ru/38822287

перегрузить систему в нормальный режиме.

далее,
сделайте еще раз для проверки лог tdsskiller, только скачайте обновленную версию 2.7.41 с оф.сайта.
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему