Форум esetnod32.ru [тема: tr.Carberp.AF] http://forum.esetnod32.ru Новое в теме tr.Carberp.AF форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sat, 02 May 2026 11:35:43 +0300 tr.Carberp.AF tr.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
в инструкции указано, что выбирать текущий пользователь в случае если он является админом на компе.
07.12.2011 14:27:58, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3136/message26585/ http://forum.esetnod32.ru/messages/forum6/topic3136/message26585/ Wed, 07 Dec 2011 14:27:58 +0400 Обнаружение вредоносного кода и ложные срабатывания tr.Carberp.AF tr.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
все делается от пользователя без админских прав
07.12.2011 13:40:58, Armyanin.]]> http://forum.esetnod32.ru/messages/forum6/topic3136/message26571/ http://forum.esetnod32.ru/messages/forum6/topic3136/message26571/ Wed, 07 Dec 2011 13:40:58 +0400 Обнаружение вредоносного кода и ложные срабатывания tr.Carberp.AF tr.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
так же
если есть возможность создать LiveCD (WinPE&uVS),
можно применить метод поиска руткитов по файлу сверки
http://forum.esetnod32.ru/forum9/topic2729/
07.12.2011 12:56:41, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3136/message26558/ http://forum.esetnod32.ru/messages/forum6/topic3136/message26558/ Wed, 07 Dec 2011 12:56:41 +0400 Обнаружение вредоносного кода и ложные срабатывания tr.Carberp.AF tr.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
образ uVS из активной системы неполный, судя по всему руткит в системе
--------------------------------------------------------

====quote====
(!) Не удалось получить прямой доступ к физическому диску #0, возможно в системе активен руткит!
............
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explor­er
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explor­er
(!) Не удалось открыть ключ: [Отказано в доступе. ]

=============

07.12.2011 12:52:47, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3136/message26557/ http://forum.esetnod32.ru/messages/forum6/topic3136/message26557/ Wed, 07 Dec 2011 12:52:47 +0400 Обнаружение вредоносного кода и ложные срабатывания tr.Carberp.AF tr.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
из дистриба, или с чистой машины с аналогичной OS
07.12.2011 12:46:45, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3136/message26556/ http://forum.esetnod32.ru/messages/forum6/topic3136/message26556/ Wed, 07 Dec 2011 12:46:45 +0400 Обнаружение вредоносного кода и ложные срабатывания tr.Carberp.AF tr.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
по п 1 надо вынуть файл из дистрибутива? я правильно понял?
07.12.2011 12:45:05, Armyanin.]]> http://forum.esetnod32.ru/messages/forum6/topic3136/message26555/ http://forum.esetnod32.ru/messages/forum6/topic3136/message26555/ Wed, 07 Dec 2011 12:45:05 +0400 Обнаружение вредоносного кода и ложные срабатывания tr.Carberp.AF tr.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
1. замените в безопасном режиме файл sfcfiles.dll

====quote====
Полное имя                  C:\WINDOWS\SYSTEM32\SFCFILES.DLL
Имя файла                   SFCFILES.DLL
Тек. статус                 ИЗВЕСТНЫЙ в автозапуске
                           
www.virustotal.com          Хэш НЕ найден на сервере.
                           
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ в автозапуске
Размер                      1571840 байт
Создан                      23.08.2008 в 16:49:04
Изменен                     23.08.2008 в 16:52:28
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        C6F7DC3C2A4F1DB7CADD56C63F1402823CBF9F91
MD5                         9690CB3B4C87E5947F5C6F48EE28B94B
                           

=============
2.  выполнить в UVS скрипт

выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

====code==== 

;uVS v3.73 script [http://dsrt.dyndns.org]

delall %SystemDrive%\DOCUME~1\USER\LOCALS~1\TEMPOR~1\CONTENT.IE5\FVCH8QL9\2A345C~1.EXE
delall %Sys32%\EVACTE.EXE
delall %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\SETUPAPI.DLL
delall %Sys32%\SV8STXR.EXE
delall %Sys32%\WCKYCTH.EXE
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
regt 5
regt 13
regt 18
regt 23
restart
=============

перезагрузка, пишем о старых и новых проблемах.

3. сделайте лог tdsskiller
Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа нарвется на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.
07.12.2011 05:41:26, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3136/message26513/ http://forum.esetnod32.ru/messages/forum6/topic3136/message26513/ Wed, 07 Dec 2011 05:41:26 +0400 Обнаружение вредоносного кода и ложные срабатывания tr.Carberp.AF tr.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
06.12.2011 13:03:09 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(2012) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна
06.12.2011 12:18:34 Защита в режиме реального времени файл C:\WINDOWS\system32\drivers\sfc.sys модифицированный Win32/Hodprot.AR троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\winlogon.exe.

=============

07.12.2011 05:35:00, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3136/message26512/ http://forum.esetnod32.ru/messages/forum6/topic3136/message26512/ Wed, 07 Dec 2011 05:35:00 +0400 Обнаружение вредоносного кода и ложные срабатывания tr.Carberp.AF tr.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
журнал обнаружения угроз
threat.txt.7z
06.12.2011 18:03:48, Armyanin.]]> http://forum.esetnod32.ru/messages/forum6/topic3136/message26495/ http://forum.esetnod32.ru/messages/forum6/topic3136/message26495/ Tue, 06 Dec 2011 18:03:48 +0400 Обнаружение вредоносного кода и ложные срабатывания tr.Carberp.AF tr.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
сорри чтото наплодил сообщений
06.12.2011 16:33:04, Armyanin.]]> http://forum.esetnod32.ru/messages/forum6/topic3136/message26484/ http://forum.esetnod32.ru/messages/forum6/topic3136/message26484/ Tue, 06 Dec 2011 16:33:04 +0400 Обнаружение вредоносного кода и ложные срабатывания tr.Carberp.AF tr.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
добавьте журнал обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
06.12.2011 16:31:51, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3136/message26483/ http://forum.esetnod32.ru/messages/forum6/topic3136/message26483/ Tue, 06 Dec 2011 16:31:51 +0400 Обнаружение вредоносного кода и ложные срабатывания tr.Carberp.AF tr.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
Ре алл
аналогичная ситуация заражен explorer.exe
http://rghost.ru/33449021
Спасибо
06.12.2011 15:32:30, Armyanin.]]> http://forum.esetnod32.ru/messages/forum6/topic3136/message26438/ http://forum.esetnod32.ru/messages/forum6/topic3136/message26438/ Tue, 06 Dec 2011 15:32:30 +0400 Обнаружение вредоносного кода и ложные срабатывания