Форум esetnod32.ru [тема: Win32/TrojanDownloader.Carberp.AD]

Форум esetnod32.ru [тема: Win32/TrojanDownloader.Carberp.AD] http://forum.esetnod32.ru Новое в теме Win32/TrojanDownloader.Carberp.AD форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 15 Apr 2026 18:12:26 +0300 Win32/TrojanDownloader.Carberp.AD Win32/TrojanDownloader.Carberp.AD Обнаружен вирус в памяти компьютера в форуме Обнаружение вредоносного кода и ложные срабатывания.
тема закрыта.
12.10.2011 11:54:20, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2503/message21610/ http://forum.esetnod32.ru/messages/forum6/topic2503/message21610/ Wed, 12 Oct 2011 11:54:20 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Carberp.AD Win32/TrojanDownloader.Carberp.AD Обнаружен вирус в памяти компьютера в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполните наши рекомендации по безопасной работе в сети.
http://forum.esetnod32.ru/forum9/topic751/
12.10.2011 11:54:08, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2503/message21609/ http://forum.esetnod32.ru/messages/forum6/topic2503/message21609/ Wed, 12 Oct 2011 11:54:08 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Carberp.AD Win32/TrojanDownloader.Carberp.AD Обнаружен вирус в памяти компьютера в форуме Обнаружение вредоносного кода и ложные срабатывания.
Выкладываю лог uVS
xxxxxx_2011-10-12_09-51-58.rar
12.10.2011 10:04:28, amd2011.]]> http://forum.esetnod32.ru/messages/forum6/topic2503/message21601/ http://forum.esetnod32.ru/messages/forum6/topic2503/message21601/ Wed, 12 Oct 2011 10:04:28 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Carberp.AD Win32/TrojanDownloader.Carberp.AD Обнаружен вирус в памяти компьютера в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
по логу малваребайт:

удалите все, кроме тех файлов и объектов что принадлежат радмину.

-----

но вообще говоря, я бы переустановил нормальный радмин 2.2
=============

Удалил все кроме радмина.
Зачем? Есть подозрение, что он заражен?
Еще что-то нужно?
12.10.2011 09:48:55, amd2011.]]> http://forum.esetnod32.ru/messages/forum6/topic2503/message21600/ http://forum.esetnod32.ru/messages/forum6/topic2503/message21600/ Wed, 12 Oct 2011 09:48:55 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Carberp.AD Win32/TrojanDownloader.Carberp.AD Обнаружен вирус в памяти компьютера в форуме Обнаружение вредоносного кода и ложные срабатывания.
по логу малваребайт:
удалите все, кроме тех файлов и объектов что принадлежат радмину.
-----
но вообще говоря, я бы переустановил нормальный радмин 2.2
12.10.2011 09:46:34, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2503/message21599/ http://forum.esetnod32.ru/messages/forum6/topic2503/message21599/ Wed, 12 Oct 2011 09:46:34 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Carberp.AD Win32/TrojanDownloader.Carberp.AD Обнаружен вирус в памяти компьютера в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
закрыть браузер перед выполнением скипта.

выполнить скрипт в uVS из буфера обмена .

====quote====
;uVS v3.71 script [http://dsrt.dyndns.org]

delall %SystemDrive%\DOCUMENTS AND SETTINGS\KURYNDINA\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL

delref HTTP://SEARCH.QIP.RU

delref HTTP://SMS/

delref HTTP://WWW.MRSK-1.RU

deltmp

delnfr

regt 5

regt 18

restart

=============

после перезагрузки сделайте лог малваребайт

http://forum.esetnod32.ru/forum9/topic682/

Carberp я так понимаю вы самостоятельно удалили.
=============

Если имеется ввиду файл %userprofile%\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE, то да, так ночная проверка нодом,нашла еще вот это:
C:\Program Files\pchd\PCHDPlayer.dll - модифицированный Win32/PornTool.PCHDPlay.A потенциально опасная программа - удален - изолирован
А так больше ничего.
Лог малваребайт готов.
mbam-log-2011-10-12 (09-11-55).txt
12.10.2011 09:13:17, amd2011.]]> http://forum.esetnod32.ru/messages/forum6/topic2503/message21595/ http://forum.esetnod32.ru/messages/forum6/topic2503/message21595/ Wed, 12 Oct 2011 09:13:17 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Carberp.AD Win32/TrojanDownloader.Carberp.AD Обнаружен вирус в памяти компьютера в форуме Обнаружение вредоносного кода и ложные срабатывания.
закрыть браузер перед выполнением скипта.
выполнить скрипт в uVS из буфера обмена.

====quote====
;uVS v3.71 script [http://dsrt.dyndns.org]

delall %SystemDrive%\DOCUMENTS AND SETTINGS\KURYNDINA\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
delref HTTP://SEARCH.QIP.RU
delref HTTP://SMS/
delref HTTP://WWW.MRSK-1.RU
deltmp
delnfr
regt 5
regt 18
restart

=============
после перезагрузки сделайте лог малваребайт
http://forum.esetnod32.ru/forum9/topic682/

Carberp я так понимаю вы самостоятельно удалили.
12.10.2011 08:45:56, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2503/message21594/ http://forum.esetnod32.ru/messages/forum6/topic2503/message21594/ Wed, 12 Oct 2011 08:45:56 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Carberp.AD Win32/TrojanDownloader.Carberp.AD Обнаружен вирус в памяти компьютера в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 пишет:

====quote====
sanek922 пишет:

c:\windows\svchost.exe вот подозрительный проверь на вирустотал
=============

Это: not-a-virus:RemoteAdmin.Win32.RAdmin.20

http://www.virustotal.com/file-scan/r...1317638879

Для эффективной проверки нужен

лог программы uVS

http://forum.esetnod32.ru/forum9/topic683/
=============
лог uVS
xxxxxx_2011-10-12_08-27-02.rar
12.10.2011 08:40:34, amd2011.]]> http://forum.esetnod32.ru/messages/forum6/topic2503/message21593/ http://forum.esetnod32.ru/messages/forum6/topic2503/message21593/ Wed, 12 Oct 2011 08:40:34 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Carberp.AD Win32/TrojanDownloader.Carberp.AD Обнаружен вирус в памяти компьютера в форуме Обнаружение вредоносного кода и ложные срабатывания.
если необходимо проверить систему, то сделайте образ автозапуска в uVS, +лог малваребайт,
-------
я так понимаю, что вы самостоятельно все пролечили.
12.10.2011 08:35:29, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2503/message21591/ http://forum.esetnod32.ru/messages/forum6/topic2503/message21591/ Wed, 12 Oct 2011 08:35:29 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Carberp.AD Win32/TrojanDownloader.Carberp.AD Обнаружен вирус в памяти компьютера в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
sanek922 пишет:
c:\windows\svchost.exe вот подозрительный проверь на вирустотал
=============

Это: not-a-virus:RemoteAdmin.Win32.RAdmin.20

http://www.virustotal.com/file-scan/report.html?id=0425a758ee783e178f0e3259cd07f7ba41f6fcca1146631636613d247809345b-1317638879

Для эффективной проверки нужен
лог программы uVS
http://forum.esetnod32.ru/forum9/topic683/
11.10.2011 21:58:58, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic2503/message21585/ http://forum.esetnod32.ru/messages/forum6/topic2503/message21585/ Tue, 11 Oct 2011 21:58:58 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Carberp.AD Win32/TrojanDownloader.Carberp.AD Обнаружен вирус в памяти компьютера в форуме Обнаружение вредоносного кода и ложные срабатывания.
c:\windows\svchost.exe вот подозрительный проверь на вирустотал
11.10.2011 20:38:22, sanek922.]]> http://forum.esetnod32.ru/messages/forum6/topic2503/message21583/ http://forum.esetnod32.ru/messages/forum6/topic2503/message21583/ Tue, 11 Oct 2011 20:38:22 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Carberp.AD Win32/TrojanDownloader.Carberp.AD Обнаружен вирус в памяти компьютера в форуме Обнаружение вредоносного кода и ложные срабатывания.
EAV-30714840

Сначала возникла проблема при обновлении - 0% индикатор и не двигался при этом высокая загрузка процессора 100%

После перезагрузки обновление успешно прошло и антивирус нашел в памяти вирус Win32/TrojanDownloader.Carberp.AD - очистка невозможна.

Затем я нашел подозрительный скрытый файл "%userprofile%\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE" и послал его к вам через форму средствами самого антивируса. Что интересно антивирус на него никак не среагировал, хотя virustotal.com показал 10 совпадений со статусом malware.

Запустил создание лога на удаленной машине средствами SysInspector установленного антивируса. Процесс шел очень долго (началось в 16:24)поэтому через удаленный запуск uVS удалил подозрительный файл и все ссылки на него. Еще убрал тулбары из IE. Средствами антивируса на компе не удалось завершить создание лога sysinspector, запустил отдельно скаченный, он тоже тормозил, но потом все-таки завершил, вот прилагаю журнал.
SysInspector-xxxxxx-111011-1959.zip
11.10.2011 20:26:30, amd2011.]]> http://forum.esetnod32.ru/messages/forum6/topic2503/message21582/ http://forum.esetnod32.ru/messages/forum6/topic2503/message21582/ Tue, 11 Oct 2011 20:26:30 +0400 Обнаружение вредоносного кода и ложные срабатывания