Форум esetnod32.ru [тема: Оперативная память » svchost.exe(992) модифицированный Win32/Corkow. & Оперативная память » explorer.exe(1988) модифицированный Win32/Carberp.A] http://forum.esetnod32.ru Новое в теме Оперативная память » svchost.exe(992) модифицированный Win32/Corkow. & Оперативная память » explorer.exe(1988) модифицированный Win32/Carberp.A форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Fri, 01 May 2026 06:17:43 +0300 Оперативная память » svchost.exe(992) модифицированный Win32/Corkow. & Оперативная память » explorer.exe(1988) модифицированный Win32/Carberp.A Оперативная память » svchost.exe(992) модифицированный Win32/Corkow. & Оперативная память » explorer.exe(1988) модифицированный Win32/Carberp.A в форуме Обнаружение вредоносного кода и ложные срабатывания.
тему закрываю.
28.11.2011 10:19:14, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2957/message25130/ http://forum.esetnod32.ru/messages/forum6/topic2957/message25130/ Mon, 28 Nov 2011 10:19:14 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » svchost.exe(992) модифицированный Win32/Corkow. & Оперативная память » explorer.exe(1988) модифицированный Win32/Carberp.A Оперативная память » svchost.exe(992) модифицированный Win32/Corkow. & Оперативная память » explorer.exe(1988) модифицированный Win32/Carberp.A в форуме Обнаружение вредоносного кода и ложные срабатывания.
что с карантином tdsskiller? отправили? нет?
28.11.2011 10:17:12, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2957/message25129/ http://forum.esetnod32.ru/messages/forum6/topic2957/message25129/ Mon, 28 Nov 2011 10:17:12 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » svchost.exe(992) модифицированный Win32/Corkow. & Оперативная память » explorer.exe(1988) модифицированный Win32/Carberp.A Оперативная память » svchost.exe(992) модифицированный Win32/Corkow. & Оперативная память » explorer.exe(1988) модифицированный Win32/Carberp.A в форуме Обнаружение вредоносного кода и ложные срабатывания.
Проблема решена.
Большое спасибо за оперативную помощь!
28.11.2011 10:12:48, rom3230.]]> http://forum.esetnod32.ru/messages/forum6/topic2957/message25128/ http://forum.esetnod32.ru/messages/forum6/topic2957/message25128/ Mon, 28 Nov 2011 10:12:48 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » svchost.exe(992) модифицированный Win32/Corkow. & Оперативная память » explorer.exe(1988) модифицированный Win32/Carberp.A Оперативная память » svchost.exe(992) модифицированный Win32/Corkow. & Оперативная память » explorer.exe(1988) модифицированный Win32/Carberp.A в форуме Обнаружение вредоносного кода и ложные срабатывания.
карантин сделали при удалении этих объектов?

====quote====
16:58:05.0263 3116 \Device\Harddisk0\DR0\Partition0 ( Rootkit.Boot.Cidox.a ) - will be cured on reboot
16:58:05.0263 3116 \Device\Harddisk0\DR0\Partition0 - ok
16:58:05.0263 3116 \Device\Harddisk0\DR0\Partition0 ( Rootkit.Boot.Cidox.a ) - User select action: Cure

=============
заархивируйте всю папку tdsskiller в корневом каталоге с  паролем infected
вышлите в посту safety.alt@gmail.com

пишем результат.
28.11.2011 10:07:09, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2957/message25127/ http://forum.esetnod32.ru/messages/forum6/topic2957/message25127/ Mon, 28 Nov 2011 10:07:09 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » svchost.exe(992) модифицированный Win32/Corkow. & Оперативная память » explorer.exe(1988) модифицированный Win32/Carberp.A Оперативная память » svchost.exe(992) модифицированный Win32/Corkow. & Оперативная память » explorer.exe(1988) модифицированный Win32/Carberp.A в форуме Обнаружение вредоносного кода и ложные срабатывания.
лог tdsskiller:
TDSSKiller.2.6.21.0_28.11.2011_16.57.09_log.txt
28.11.2011 10:03:25, rom3230.]]> http://forum.esetnod32.ru/messages/forum6/topic2957/message25126/ http://forum.esetnod32.ru/messages/forum6/topic2957/message25126/ Mon, 28 Nov 2011 10:03:25 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » svchost.exe(992) модифицированный Win32/Corkow. & Оперативная память » explorer.exe(1988) модифицированный Win32/Carberp.A Оперативная память » svchost.exe(992) модифицированный Win32/Corkow. & Оперативная память » explorer.exe(1988) модифицированный Win32/Carberp.A в форуме Обнаружение вредоносного кода и ложные срабатывания.
удалить все найденное в МБАМ
далее,
скачайте tdsskiller отсюда
http://rghost.ru/32097421
при сканировании, ничего не удаляйте,
то что будет задетектировано, добавьте в карантин.
лог сканирования добавить на форум.
28.11.2011 09:51:36, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2957/message25125/ http://forum.esetnod32.ru/messages/forum6/topic2957/message25125/ Mon, 28 Nov 2011 09:51:36 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » svchost.exe(992) модифицированный Win32/Corkow. & Оперативная память » explorer.exe(1988) модифицированный Win32/Carberp.A Оперативная память » svchost.exe(992) модифицированный Win32/Corkow. & Оперативная память » explorer.exe(1988) модифицированный Win32/Carberp.A в форуме Обнаружение вредоносного кода и ложные срабатывания.
Не помогло.

Журнал проверки
Версия базы данных сигнатур вирусов: 6664 (20111127)
Дaтa: 28.11.2011  Время: 16:39:50
Просканированные диски, папки и файлы: Оперативная память
Оперативная память » explorer.exe(1988) - модифицированный Win32/Carberp.A троянская программа - очистка невозможна
Количество просканированных объектов: 825
Количество обнаруженных угроз: 1
Количество очищенных объектов: 0
Время выполнения: 16:40:18  Общее время проверки: 28 сек. (00:00:28)

лог МБАМ:
mbam-log-2011-11-28 (16-46-53).txt
28.11.2011 09:47:07, rom3230.]]> http://forum.esetnod32.ru/messages/forum6/topic2957/message25124/ http://forum.esetnod32.ru/messages/forum6/topic2957/message25124/ Mon, 28 Nov 2011 09:47:07 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » svchost.exe(992) модифицированный Win32/Corkow. & Оперативная память » explorer.exe(1988) модифицированный Win32/Carberp.A Оперативная память » svchost.exe(992) модифицированный Win32/Corkow. & Оперативная память » explorer.exe(1988) модифицированный Win32/Carberp.A в форуме Обнаружение вредоносного кода и ложные срабатывания.
+
сделайте лог МБАМ
http://forum.esetnod32.ru/forum9/topic682/
28.11.2011 09:08:40, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2957/message25119/ http://forum.esetnod32.ru/messages/forum6/topic2957/message25119/ Mon, 28 Nov 2011 09:08:40 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » svchost.exe(992) модифицированный Win32/Corkow. & Оперативная память » explorer.exe(1988) модифицированный Win32/Carberp.A Оперативная память » svchost.exe(992) модифицированный Win32/Corkow. & Оперативная память » explorer.exe(1988) модифицированный Win32/Carberp.A в форуме Обнаружение вредоносного кода и ложные срабатывания.
закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

====code==== 

;uVS v3.72 script [http://dsrt.dyndns.org]

ZOO %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\MDM1.TCR
delall %SystemDrive%\USERS\ROM\APPDATA\LSASS.EXE
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\NETPROTOCOL.EXE
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\MDM1.TCR
delref HTTP://WWW.APEHA.RU
deltmp
delnfr
regt 5
regt 18
restart
=============
перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту sendvirus2011@gmail.com
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
28.11.2011 09:05:23, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2957/message25118/ http://forum.esetnod32.ru/messages/forum6/topic2957/message25118/ Mon, 28 Nov 2011 09:05:23 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » svchost.exe(992) модифицированный Win32/Corkow. & Оперативная память » explorer.exe(1988) модифицированный Win32/Carberp.A Оперативная память » svchost.exe(992) модифицированный Win32/Corkow. & Оперативная память » explorer.exe(1988) модифицированный Win32/Carberp.A в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте. Помогите решить проблему -

28.11.2011 13:14:17 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » svchost.exe(992) модифицированный Win32/Corkow.A троянская программа очистка невозможна

28.11.2011 11:55:33 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1988) модифицированный Win32/Carberp.A троянская программа очистка невозможна

http://rghost.ru/32318401
28.11.2011 06:45:36, rom3230.]]> http://forum.esetnod32.ru/messages/forum6/topic2957/message25113/ http://forum.esetnod32.ru/messages/forum6/topic2957/message25113/ Mon, 28 Nov 2011 06:45:36 +0400 Обнаружение вредоносного кода и ложные срабатывания