Форум esetnod32.ru [тема: explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF] http://forum.esetnod32.ru Новое в теме explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sat, 02 May 2026 11:10:58 +0300 explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
заражение было на второй системе (на D), но антивир на C видимо проверяет все загрузочные сектора на диске.

выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic751/

тему закрываем.
02.12.2011 10:34:08, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3053/message25912/ http://forum.esetnod32.ru/messages/forum6/topic3053/message25912/ Fri, 02 Dec 2011 10:34:08 +0400 Обнаружение вредоносного кода и ложные срабатывания explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Да на диске д стоит вин хр на с стоит 7, что порекомендуете ? Нод последний версии лайв СД не нашёл ничего на обоих дисках.
02.12.2011 10:23:31, _T_.]]> http://forum.esetnod32.ru/messages/forum6/topic3053/message25909/ http://forum.esetnod32.ru/messages/forum6/topic3053/message25909/ Fri, 02 Dec 2011 10:23:31 +0400 Обнаружение вредоносного кода и ложные срабатывания explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Версия базы данных: 8289

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

02.12.2011 10:15:05
mbam-log-2011-12-02 (10-15-05).txt

Тип сканирования: Быстрое сканирование
Просканированные объекты: 188978
Времени прошло: 4 минут, 23 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 0
Объекты реестра заражены: 1
Зараженные папки: 0
Зараженные файлы: 2

Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)

Зараженные модули в памяти:
(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:
(Вредоносных программ не обнаружено)

Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\COMSYSA­PP\Type (Hijack.Comsysapp) -> Bad: (272) Good: (16) -> Quarantined and deleted successfully.

Зараженные папки:
(Вредоносных программ не обнаружено)

Зараженные файлы:
c:\Users\_T_\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Quarantined and deleted successfully.
c:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Quarantined and deleted successfully.
02.12.2011 10:22:17, _T_.]]> http://forum.esetnod32.ru/messages/forum6/topic3053/message25908/ http://forum.esetnod32.ru/messages/forum6/topic3053/message25908/ Fri, 02 Dec 2011 10:22:17 +0400 Обнаружение вредоносного кода и ложные срабатывания explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
нескучный журнал у вас

====quote====
02.12.2011 9:10:48 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(4028) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна _T_-ПК\_T_
=============
похоже заражен был загрузчик на диске D, на него ESET ругался. А что у вас на диске D? тоже установлена система?

Имеет смысл сделать полную проверку диска, если Expiro у вас свободно гуляет.

+
сделайте дополнительно проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
02.12.2011 10:17:11, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3053/message25906/ http://forum.esetnod32.ru/messages/forum6/topic3053/message25906/ Fri, 02 Dec 2011 10:17:11 +0400 Обнаружение вредоносного кода и ложные срабатывания explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Спасибо перезагрузился-проблем не обнаружено, лог журнала обнаружения угроз в сообщении.
лог журнала обнаружения угроз.txt
02.12.2011 10:04:04, _T_.]]> http://forum.esetnod32.ru/messages/forum6/topic3053/message25904/ http://forum.esetnod32.ru/messages/forum6/topic3053/message25904/ Fri, 02 Dec 2011 10:04:04 +0400 Обнаружение вредоносного кода и ложные срабатывания explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Сейчас попробую спасибо !
02.12.2011 09:54:06, _T_.]]> http://forum.esetnod32.ru/messages/forum6/topic3053/message25902/ http://forum.esetnod32.ru/messages/forum6/topic3053/message25902/ Fri, 02 Dec 2011 09:54:06 +0400 Обнаружение вредоносного кода и ложные срабатывания explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
+ добавить лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
02.12.2011 09:53:34, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3053/message25901/ http://forum.esetnod32.ru/messages/forum6/topic3053/message25901/ Fri, 02 Dec 2011 09:53:34 +0400 Обнаружение вредоносного кода и ложные срабатывания explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

====code==== 

;uVS v3.73 script [http://dsrt.dyndns.org]

zoo E:\НА CD\ДЛЯ WIN\ДЛЯ ВЗЛОМА ТРИАЛЬНЫХ ПРОГ\TIMEBACK.EXE
addsgn 925277DA146AC1CC0B04504E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 tr1

zoo %Sys32%\BETWINSERVICEVS.EXE
addsgn 1A7A5A9A5583158CF42B627DA804DE3E281275B5898F1D8B462AC29250D6BD80EFDB0FDCC10016A5A0C58C1A8640C20BBB99E47220B9588A0477A4A6810EA93B 8 betwimservices

delall %Sys32%\BETWINSERVICEVS.EXE
; delall E:\НА CD\ДЛЯ WIN\ДЛЯ ВЗЛОМА ТРИАЛЬНЫХ ПРОГ\TIMEBACK.EXE
fixvbr D: 6
deltmp
delnfr
restart
=============

перезагрузка, пишем о старых и новых проблемах.
02.12.2011 09:52:13, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3053/message25900/ http://forum.esetnod32.ru/messages/forum6/topic3053/message25900/ Fri, 02 Dec 2011 09:52:13 +0400 Обнаружение вредоносного кода и ложные срабатывания explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
похоже, здесь уже и BETWIN влепили для удаленного доступа.
-----

====quote====
Полное имя                  C:\WINDOWS\SYSTEM32\BETWINSERVICEVS.EXE
Имя файла                   BETWINSERVICEVS.EXE
Тек. статус                 ВИРУС ПОДОЗРИТЕЛЬНЫЙ отключенный сервис в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ отключенный сервис в автозапуске
Размер                      254536 байт
Создан                      23.08.2011 в 23:25:31
Изменен                     30.09.2009 в 13:09:40
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               НАРУШЕНА, файл модифицирован или заражен
                           
Оригинальное имя            BeTwinService.exe
Версия файла                2.00 built by: WinDDK
Описание                    BeTwin Terminal Services
Производитель               ThinSoft Pte Ltd.
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цифровая подпись            Недействительна (файл поврежден/заражен)
                           
Доп. информация             на момент обновления списка
SHA1                        5A93D067693659DBDB7086B43333E6EACAD6EF12
MD5                         6A0B195EE9C51AE89922166705ADC5A5
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\BeTwinService\ImagePa­th
ImagePath                   System32\BeTwinServiceVS.exe
BeTwinService               тип запуска: Отключено (4)

=============

02.12.2011 09:49:43, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3053/message25899/ http://forum.esetnod32.ru/messages/forum6/topic3053/message25899/ Fri, 02 Dec 2011 09:49:43 +0400 Обнаружение вредоносного кода и ложные срабатывания explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF explorer.exe(4028) - Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Образ автозапуска прикреплён как избавится от этой нечести не лайв сиди не чего не помогает
_T_-ПК_2011-12-02_09-16-21.rar
02.12.2011 09:26:43, _T_.]]> http://forum.esetnod32.ru/messages/forum6/topic3053/message25895/ http://forum.esetnod32.ru/messages/forum6/topic3053/message25895/ Fri, 02 Dec 2011 09:26:43 +0400 Обнаружение вредоносного кода и ложные срабатывания