Форум esetnod32.ru [тема: модифицированный Win32/TrojanDownloader.Carberp.AF] http://forum.esetnod32.ru Новое в теме модифицированный Win32/TrojanDownloader.Carberp.AF форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sat, 18 Apr 2026 18:36:30 +0300 модифицированный Win32/TrojanDownloader.Carberp.AF модифицированный Win32/TrojanDownloader.Carberp.AF Оперативная память » explorer.exe(544) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
сделайте дополнительно проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
07.12.2011 09:44:35, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3124/message26528/ http://forum.esetnod32.ru/messages/forum6/topic3124/message26528/ Wed, 07 Dec 2011 09:44:35 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/TrojanDownloader.Carberp.AF модифицированный Win32/TrojanDownloader.Carberp.AF Оперативная память » explorer.exe(544) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
спасибо. после второго скрипта вирус в оперативной памяти удалён, система перестала подтормаживать
07.12.2011 09:43:03, Zippo.]]> http://forum.esetnod32.ru/messages/forum6/topic3124/message26527/ http://forum.esetnod32.ru/messages/forum6/topic3124/message26527/ Wed, 07 Dec 2011 09:43:03 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/TrojanDownloader.Carberp.AF модифицированный Win32/TrojanDownloader.Carberp.AF Оперативная память » explorer.exe(544) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
скорее всего, повторное заражение.
06.12.2011 16:13:39, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3124/message26443/ http://forum.esetnod32.ru/messages/forum6/topic3124/message26443/ Tue, 06 Dec 2011 16:13:39 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/TrojanDownloader.Carberp.AF модифицированный Win32/TrojanDownloader.Carberp.AF Оперативная память » explorer.exe(544) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

====code==== 

;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %Sys32%\MSRMZLDV.EXE
addsgn 79132211B9EBA0AE0BD4AED95BDC5205CD68F1F6899C2CA6088621ECB8287D4C23E01CA80B44F8092B68139346168EFF82BCA872AA254FD34777CC7AD346221B 8 new_vir

bl D9BBB323550DE06A8004ED64B5921634 97664
delall %Sys32%\MSRMZLDV.EXE
addsgn 79132211B9EBA06A09D4AE3A3114AB3F258AFCD54373529CD6480F8F90ED3CAC5648F842FAF5DF495ED73E0A49164973E88F178DAAD978A7B8275BD0383D37B7 8 Tr.Carberp

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ИНТЕРКРОВ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\J06BTWWHVVY.EXE
bl 8C15B8E804D0BAA0F3371DC4749BC5F2 166912
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ИНТЕРКРОВ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\J06BTWWHVVY.EXE
delall %Sys32%\XTGINA.DLL
delall %Sys32%\BETWINSERVICEXP.EXE
chklst
delvir
deltmp
delnfr
czoo
restart
=============

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту support@esetnod32.ru, sendvirus2011@gmail.com
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
06.12.2011 16:12:48, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3124/message26442/ http://forum.esetnod32.ru/messages/forum6/topic3124/message26442/ Tue, 06 Dec 2011 16:12:48 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/TrojanDownloader.Carberp.AF модифицированный Win32/TrojanDownloader.Carberp.AF Оперативная память » explorer.exe(544) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
упс... в предыдущем сообщении образ не полный. вот полный образ.
после запуска скрипта начала нещадно тормозить система
KROV8_2011-12-06_15-46-20.7z
06.12.2011 16:01:31, Zippo.]]> http://forum.esetnod32.ru/messages/forum6/topic3124/message26441/ http://forum.esetnod32.ru/messages/forum6/topic3124/message26441/ Tue, 06 Dec 2011 16:01:31 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/TrojanDownloader.Carberp.AF модифицированный Win32/TrojanDownloader.Carberp.AF Оперативная память » explorer.exe(544) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
после запуска скрипта нод снова нашёл поганца:
Оперативная память » explorer.exe(2176) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна
Новый образ автозапуска ниже:
KROV8_2011-12-06_15-46-20.7z
06.12.2011 15:53:21, Zippo.]]> http://forum.esetnod32.ru/messages/forum6/topic3124/message26440/ http://forum.esetnod32.ru/messages/forum6/topic3124/message26440/ Tue, 06 Dec 2011 15:53:21 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/TrojanDownloader.Carberp.AF модифицированный Win32/TrojanDownloader.Carberp.AF Оперативная память » explorer.exe(544) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

====code==== 

;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %Sys32%\MSUOUTGF.EXE
addsgn 79132211B9EBA03A0ED4AE3A69B402442501E98A99BB1FF1C84B4C31F02B8EB3AA8217ACC1AACE7AEBAB4614D316B20582567D6EAA254FA5A85B5FD03850ABF6 8 Carberp.W [NOD32]

addsgn 79132211B9EBA05609D4AE82A4459E45F14FFCF60077E3867A3C968F90FDB0C5A6E33DA8C10314C44B7F7B60119D8871F023168DAA59495F59212FBA33F8DD8C 8 a variant of Win32/Kryptik.WHU [NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ИНТЕРКРОВ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl D7E9B2E9C5E5545CC47B29900DEADCCF 107820
bl 035A5A707DE266E4837A71382C01C9AB 166912
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ИНТЕРКРОВ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %Sys32%\MSUOUTGF.EXE
chklst
delvir
delref HTTP://SEARCH.QIP.RU
delref HTTP://WWW.YAHOO.COM
deltmp
delnfr
restart
=============

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту support@esetnod32.ru, sendvirus2011@gmail.com
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
------------

сделайте дополнительно проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
06.12.2011 11:02:13, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3124/message26395/ http://forum.esetnod32.ru/messages/forum6/topic3124/message26395/ Tue, 06 Dec 2011 11:02:13 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/TrojanDownloader.Carberp.AF модифицированный Win32/TrojanDownloader.Carberp.AF Оперативная память » explorer.exe(544) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Полный образ автозапуска утилитой uVS прилагается. Буду благодарен за оказанную помощь
KROV8_2011-11-29_14-04-47.7z
06.12.2011 09:57:04, Zippo.]]> http://forum.esetnod32.ru/messages/forum6/topic3124/message26389/ http://forum.esetnod32.ru/messages/forum6/topic3124/message26389/ Tue, 06 Dec 2011 09:57:04 +0400 Обнаружение вредоносного кода и ложные срабатывания