http://forum.esetnod32.ru Новое в теме Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 29 Apr 2026 03:29:42 +0300 Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
ну, ясно. значит причина  была все таки в загрузчиках, один из которых, не прошел проверку по списку безопасных в uVS

====quote====
IPL NTFS [C:]: Неизвестный загрузчик SHA1: 1A372EB4879DC8B2319153F1FB5F8DD343AB7CE6
=============
а на ВирусТотал никто его не задетектил.
http://www.virustotal.com/file-scan/report.html?id=3f2684326e1d7ee57ac5a78869ac6208e071ed747a769fc4f33b3559d­80269a9-1321622128
отсюда и все наши поиски "третьего пути".
19.11.2011 07:47:34, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23919/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23919/ Sat, 19 Nov 2011 07:47:34 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
это все я знаю, предки помогают вирусы цеплять,))) спасибо Вам огромное, надеюсь помог хоть чем нибудь)))
18.11.2011 21:04:27, Heify.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23900/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23900/ Fri, 18 Nov 2011 21:04:27 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
Хорошо, выполните еще вот это
http://forum.esetnod32.ru/forum9/topic751/
18.11.2011 21:02:36, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23899/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23899/ Fri, 18 Nov 2011 21:02:36 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
После перезагрузки, пропало сообщение о вирусе в оперативке, после прогнал malverebyte он нашел два вируса, их удалил. сейчас вирус не показывает, прогнал еще раз malvare все чисто.
18.11.2011 21:01:41, Heify.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23898/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23898/ Fri, 18 Nov 2011 21:01:41 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
После перезагрузки и с использованием программы проблема исчезла?
18.11.2011 20:42:28, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23897/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23897/ Fri, 18 Nov 2011 20:42:28 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
Malwarebyte нашел два вируса лог ниже
mbam-log-2011-11-18 (20-40-57).txt
18.11.2011 20:41:49, Heify.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23896/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23896/ Fri, 18 Nov 2011 20:41:49 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вылез на диск С: чтобы поудалять отчеты и нашел лог tsdkiller, он автоматом оказывается сохранился.
TDSSKiller.2.6.19.0_18.11.2011_20.14.22_log.txt
18.11.2011 20:32:50, Heify.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23895/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23895/ Fri, 18 Nov 2011 20:32:50 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
Блиииииинннн я лоханулся, запустил tdsskiller, не предпринимал ни каких действий, после проверки показал один вирус, но я не понял как сохранить отчет из этого окна. и закрыл его, потом случайно закрыл прогу, она сказала после перезагрузки все будет ок, Запустил еше раз, а он его уже не находит, перезагрузился и все прошло. Простите меня и спасибо Вам огромнейшее.
Ща схожу к знакомому, скину вам его отчет uVs, если скрипт не поможет, запущу tdskiller, есть подозрение что у него такой же вирус.
18.11.2011 20:29:27, Heify.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23894/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23894/ Fri, 18 Nov 2011 20:29:27 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
попытка поиска по руткитам по данной инструкции

пробуйте еще сделать поиск руткита по файлу сверки.
http://forum.esetnod32.ru/forum9/topic2729/
т.е. создание файла сверки в активной системе,
и поиск руткитов по файлу сверки из под WinPe

Образ вложил, различий вроде не нашел
1-ПК_2011-11-18_19-58-28.7z
18.11.2011 20:10:33, Heify.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23893/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23893/ Fri, 18 Nov 2011 20:10:33 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
ок, сейчас на работе, буду доступен где то в 19.00
18.11.2011 11:24:43, Heify.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23854/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23854/ Fri, 18 Nov 2011 11:24:43 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
последний вариант будет полное сканирование из под Live.CD (eset_rescue_linux)
http://forum.esetnod32.ru/forum9/topic1966/
если не поможет, то увы...
------------
проверьте еще систему анти_руткитными утилитами
архив скачать по ссылке
http://rghost.ru/30760461
в tdsskiller ничего не удаляйте, если будет детект.
лог tdsskiller добавить на форум.
18.11.2011 09:19:58, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23849/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23849/ Fri, 18 Nov 2011 09:19:58 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
чего то подозрительного не вижу в этом образе,
разве что загрузчики не всписке проверенных, но по ВирусТотал - чистые.

пробуйте еще сделать поиск руткита по файлу сверки.
http://forum.esetnod32.ru/forum9/topic2729/
т.е. создание файла сверки в активной системе,
и поиск руткитов по файлу сверки из под WinPe
18.11.2011 09:17:37, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23848/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23848/ Fri, 18 Nov 2011 09:17:37 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
Сделал под обычной загрузкой
1-ПК_2011-11-18_09-12-57.rar
18.11.2011 09:15:49, Heify.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23847/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23847/ Fri, 18 Nov 2011 09:15:49 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
Оставил один хард, диск С остался под зарезервировано системой, диск Д система
1-ПК_2011-11-18_08-47-58.7z
18.11.2011 08:59:50, Heify.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23845/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23845/ Fri, 18 Nov 2011 08:59:50 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
обычно такое бывает для vista или Win7 при загрузке с Live.CD

====quote====
uVS v3.71: Windows 7 Ultimate x86 (NT v6.1) build 7600  [C:\WINDOWS]
=============
,
при загрузке с Live.CD под C резервируется область загрузчиков, а каталог с Windows действительно будет на другом диске.
18.11.2011 08:56:59, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23844/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23844/ Fri, 18 Nov 2011 08:56:59 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
Ща попробую еще раз под live загрузиться, но система у меня стоит только на одном разделе. Если будет тоже самое, вечером отключу все дополнительные жесткие диски и попробую live может правильным станет раздел С с системой
18.11.2011 08:27:59, Heify.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23843/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23843/ Fri, 18 Nov 2011 08:27:59 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
После загрузки Live CD у меня диски почему то поменяны местами, на диске С: нет винды, диском С становиться другой хард где сохранены игры.
MBAB опять нашел тот же вирус, хотя я его удалял уже.
mbam-log-2011-11-18 (08-21-31).txt
Log Nod.txt
18.11.2011 08:26:23, Heify.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23842/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23842/ Fri, 18 Nov 2011 08:26:23 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
подведем некоторые итоги.
-------------
1. Carberp обнаруживается в памяти


====quote====
17.11.2011 19:48:32 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(704) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна 1-ПК\1
17.11.2011 19:27:58 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1444) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна 1-ПК\1
17.11.2011 17:26:57 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1212) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна


=============
система загружена с C.
2. ESI 17.11.2011 в 21:03 не находит аномалий никаких.

3. скан оперативной памяти

====quote====
Дaтa: 17.11.2011  Время: 22:11:31
Просканированные диски, папки и файлы: Оперативная память
Оперативная память » svchost.exe(2444) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна
Количество просканированных объектов: 614
Количество обнаруженных угроз: 1

=============
т.е. вирусяка присутствует все время оперативной памяти.

4.  MBAB  18.11.2011 0:50:13
находит только хвосты

====quote====
mbam-log-2011-11-18 (00-50-13).txt

Тип сканирования: Быстрое сканирование
Просканированные объекты: 170048
Времени прошло: 3 минут, 43 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 0
Объекты реестра заражены: 0
Зараженные папки: 0
Зараженные файлы: 1


=============
5. образы автозапуска с Live.CD сделаны неверно. Сделаны для системы с диска I.
18.11.2011 07:00:38, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23836/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23836/ Fri, 18 Nov 2011 07:00:38 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Heify пишет:
попробовал с флэшки, каталог цифровых подписей также не установился
Лог при загрузке с флэшки
=============
Второй образ тоже сделан для системы с диска I. Что там у вас? загрузочный диск? Нужен образ системы которая у вас на жестком диске C.
18.11.2011 06:38:26, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23835/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23835/ Fri, 18 Nov 2011 06:38:26 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Heify пишет:
сделал с диска загрузился, выбрал папку windows запустил скан. После он пытался создать какую то папку для проверки цифровых подписей, но неудачно.
=============
Система у вас на диске C, вы же делаете здесь образ автозапуска с диска I.

====quote====
I:\WINDOWS\EXPLORER.EXE
=============

18.11.2011 06:35:16, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23834/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23834/ Fri, 18 Nov 2011 06:35:16 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
Ну что же всем спокойной ночи, запустил еще раз NOD32 и Malware на полное глубокое сканирование.
18.11.2011 01:21:26, Heify.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23829/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23829/ Fri, 18 Nov 2011 01:21:26 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
Пока все спят, скачал далее CCLeaner удалил все что он предложил, поправил реестр как он предложил. Далее запустил Malwarebytes на быстрое сканирование, нашел вирус)) до этого не находил, после последней полной проверки.
mbam-log-2011-11-18 (00-50-13).txt
18.11.2011 00:56:30, Heify.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23823/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23823/ Fri, 18 Nov 2011 00:56:30 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
попробовал с флэшки, каталог цифровых подписей также не установился
Лог при загрузке с флэшки
1-ПК_2011-11-18_00-32-16.7z
18.11.2011 00:36:21, Heify.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23820/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23820/ Fri, 18 Nov 2011 00:36:21 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
сделал с диска загрузился, выбрал папку windows запустил скан. После он пытался создать какую то папку для проверки цифровых подписей, но неудачно.
1-ПК_2011-11-17_23-43-01.7z
17.11.2011 23:56:45, Heify.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23817/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23817/ Thu, 17 Nov 2011 23:56:45 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Heify пишет:
Скачал live cd, суммы совпадают, запишу завтра тогда на чистом ноутбуке на работе, и вечером встретимся))) Остался вопрос из под live CD uVs автоматически сам запуститься? не надо будет выбирать свой виндовс?
=============
в принципе, можно и на этой системе пробовать записать в ultraiso на uSB, может получится правильно записать, все таки не файловый вирус.
17.11.2011 22:51:14, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23814/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23814/ Thu, 17 Nov 2011 22:51:14 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
да, он автоматически запустится, но надо будет сделать выбор системы с жесткого диска.
http://forum.esetnod32.ru/forum9/topic683/
по ссылке посмотрите,
-------
под текущим пользователем, без выбора системы - это только если вы создаете образ в uVS из активной системы.
17.11.2011 22:50:09, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23813/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23813/ Thu, 17 Nov 2011 22:50:09 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
Скачал live cd, суммы совпадают, запишу завтра тогда на чистом ноутбуке на работе, и вечером встретимся))) Остался вопрос из под live CD uVs автоматически сам запуститься? не надо будет выбирать свой виндовс?
17.11.2011 22:48:17, Heify.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23812/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23812/ Thu, 17 Nov 2011 22:48:17 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
а если каждый день будешь этот вирус цеплять, то каждый день будешь систему переустанавливать?
17.11.2011 22:38:18, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23810/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23810/ Thu, 17 Nov 2011 22:38:18 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
лучше разобраться с проблемой до конца,
если под Live.CD не будет детекта, тогда и мы прекратим поиск.
17.11.2011 22:37:53, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23809/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23809/ Thu, 17 Nov 2011 22:37:53 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
а если винду переустановить это решение проблемы?) просто нашел у Вас на форуме у одного человека такая же проблема была, он просто переустановил windows. Я конечно могу еще сутки помучаться для того чтобы и Вам понять что это и как с этим бороться.
17.11.2011 22:33:05, Heify.]]> http://forum.esetnod32.ru/messages/forum6/topic2772/message23807/ http://forum.esetnod32.ru/messages/forum6/topic2772/message23807/ Thu, 17 Nov 2011 22:33:05 +0400 Обнаружение вредоносного кода и ложные срабатывания