Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF

RSS
 
Heify
Heify
Пользователь
Сообщений: 31
Баллов: 15
Регистрация: 16.11.2011
Размещено 16.11.2011 23:30:14
Добрый вечер, хелп плиз

Ответы

Пред. 1 2 3 4 5 6 След.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.11.2011 07:00:38
подведем некоторые итоги.
-------------
1. Carberp обнаруживается в памяти

Цитата
17.11.2011 19:48:32 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(704) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна 1-ПК\1
17.11.2011 19:27:58 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1444) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна 1-ПК\1
17.11.2011 17:26:57 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1212) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна
система загружена с C.
2. ESI 17.11.2011 в 21:03 не находит аномалий никаких.

3. скан оперативной памяти
Цитата
Дaтa: 17.11.2011  Время: 22:11:31
Просканированные диски, папки и файлы: Оперативная память
Оперативная память » svchost.exe(2444) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна
Количество просканированных объектов: 614
Количество обнаруженных угроз: 1
т.е. вирусяка присутствует все время оперативной памяти.

4.  MBAB  18.11.2011 0:50:13
находит только хвосты
Цитата
mbam-log-2011-11-18 (00-50-13).txt

Тип сканирования: Быстрое сканирование
Просканированные объекты: 170048
Времени прошло: 3 минут, 43 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 0
Объекты реестра заражены: 0
Зараженные папки: 0
Зараженные файлы: 1
5. образы автозапуска с Live.CD сделаны неверно. Сделаны для системы с диска I.
Изменено: santy - 18.11.2011 07:01:52
[ Как создать образ автозапуска? ]
 
Heify
Heify
Пользователь
Сообщений: 31
Баллов: 15
Регистрация: 16.11.2011
Размещено 18.11.2011 08:26:23
После загрузки Live CD у меня диски почему то поменяны местами, на диске С: нет винды, диском С становиться другой хард где сохранены игры.
MBAB опять нашел тот же вирус, хотя я его удалял уже.
 
Heify
Heify
Пользователь
Сообщений: 31
Баллов: 15
Регистрация: 16.11.2011
Размещено 18.11.2011 08:27:59
Ща попробую еще раз под live загрузиться, но система у меня стоит только на одном разделе. Если будет тоже самое, вечером отключу все дополнительные жесткие диски и попробую live может правильным станет раздел С с системой
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.11.2011 08:56:59
обычно такое бывает для vista или Win7 при загрузке с Live.CD
Цитата
uVS v3.71: Windows 7 Ultimate x86 (NT v6.1) build 7600  [C:\WINDOWS]
,
при загрузке с Live.CD под C резервируется область загрузчиков, а каталог с Windows действительно будет на другом диске.
[ Как создать образ автозапуска? ]
 
Heify
Heify
Пользователь
Сообщений: 31
Баллов: 15
Регистрация: 16.11.2011
Размещено 18.11.2011 08:59:50
Оставил один хард, диск С остался под зарезервировано системой, диск Д система
 
Heify
Heify
Пользователь
Сообщений: 31
Баллов: 15
Регистрация: 16.11.2011
Размещено 18.11.2011 09:15:49
Сделал под обычной загрузкой
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.11.2011 09:17:37
чего то подозрительного не вижу в этом образе,
разве что загрузчики не всписке проверенных, но по ВирусТотал - чистые.

пробуйте еще сделать поиск руткита по файлу сверки.
http://forum.esetnod32.ru/forum9/topic2729/
т.е. создание файла сверки в активной системе,
и поиск руткитов по файлу сверки из под WinPe
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.11.2011 09:19:58
последний вариант будет полное сканирование из под Live.CD (eset_rescue_linux)
http://forum.esetnod32.ru/forum9/topic1966/
если не поможет, то увы...
------------
проверьте еще систему анти_руткитными утилитами
архив скачать по ссылке
http://rghost.ru/30760461
в tdsskiller ничего не удаляйте, если будет детект.
лог tdsskiller добавить на форум.
Изменено: santy - 18.11.2011 10:46:12
[ Как создать образ автозапуска? ]
 
Heify
Heify
Пользователь
Сообщений: 31
Баллов: 15
Регистрация: 16.11.2011
Размещено 18.11.2011 11:24:43
ок, сейчас на работе, буду доступен где то в 19.00
 
Heify
Heify
Пользователь
Сообщений: 31
Баллов: 15
Регистрация: 16.11.2011
Размещено 18.11.2011 20:10:33
попытка поиска по руткитам по данной инструкции

пробуйте еще сделать поиск руткита по файлу сверки.
http://forum.esetnod32.ru/forum9/topic2729/
т.е. создание файла сверки в активной системе,
и поиск руткитов по файлу сверки из под WinPe

Образ вложил, различий вроде не нашел
 
Пред. 1 2 3 4 5 6 След.
Читают тему