http://forum.esetnod32.ru Новое в теме Win32/TrojanDownloader.Carberp.AD форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 30 Apr 2026 07:01:07 +0300 Win32/TrojanDownloader.Carberp.AD Win32/TrojanDownloader.Carberp.AD в форуме Обнаружение вредоносного кода и ложные срабатывания.
Арвид спасибо. ERA в лог с этой машины перестала жаловаться. вопрос можно решать закрытым. завтра буду с такой же напастью бороться, только там префикс AF на конце и юзер имел права админа.

по поводу обновления софта все верно. надо регулярно обновлять софт от адобе, ставить заплатки винды (сколько вирей на машинах с xp sp2 это дивишься без конца). ограничивать учетные записи пользователей. отключить автозагрузку с любых носителей политикой домена. еще бы узнать как
запретить писать пользователям (не являющиеся админами) в Главное меню/Автозагрузка политикой домена.
10.03.2012 09:49:17, kas.]]> http://forum.esetnod32.ru/messages/forum6/topic4609/message36588/ http://forum.esetnod32.ru/messages/forum6/topic4609/message36588/ Sat, 10 Mar 2012 09:49:17 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Carberp.AD Win32/TrojanDownloader.Carberp.AD в форуме Обнаружение вредоносного кода и ложные срабатывания.
в Mbam найденное удалить
затем Выполните рекомендации
желательно обновлять софт на подобие Java Runtime Environment, Flash Player по мере выхода обнов. именно через их дыры сейчас заражаются системы
09.03.2012 19:56:15, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic4609/message36575/ http://forum.esetnod32.ru/messages/forum6/topic4609/message36575/ Fri, 09 Mar 2012 19:56:15 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Carberp.AD Win32/TrojanDownloader.Carberp.AD в форуме Обнаружение вредоносного кода и ложные срабатывания.
TDSSkiller заявил что все чисто
TDSSKiller.2.7.19.0_09.03.2012_15.34.06_log.txt
09.03.2012 15:43:03, kas.]]> http://forum.esetnod32.ru/messages/forum6/topic4609/message36567/ http://forum.esetnod32.ru/messages/forum6/topic4609/message36567/ Fri, 09 Mar 2012 15:43:03 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Carberp.AD Win32/TrojanDownloader.Carberp.AD в форуме Обнаружение вредоносного кода и ложные срабатывания.
1) сделал лог в mbam он мне нашел в корзине вирь, которого я удалил. ребутнулся.
2) удалил папку 0aBGtkg5p1uv0kh в корне диска C
3) натравил eset на С и оп. память. кажет что все чисто

вроде отделался малой кровью
mbam-log-2012-03-09 (15-30-20).txt
09.03.2012 15:40:39, kas.]]> http://forum.esetnod32.ru/messages/forum6/topic4609/message36566/ http://forum.esetnod32.ru/messages/forum6/topic4609/message36566/ Fri, 09 Mar 2012 15:40:39 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Carberp.AD Win32/TrojanDownloader.Carberp.AD в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
kas пишет:
еще эта же машина жаловалась так:

09.03.2012 10:18:04 -PC-1-3:C:\System Volume Information\_restore{062FB417-4F68-4D44-9F1C-4BA0BF7A1B51}\RP401\A0016289.exe Win32/Kryptik.ACAC. Esset его изолировал.
=============
правильно сделал. видно дропер сидел с системе и попал в точку восстановления системы
09.03.2012 15:23:59, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic4609/message36565/ http://forum.esetnod32.ru/messages/forum6/topic4609/message36565/ Fri, 09 Mar 2012 15:23:59 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Carberp.AD Win32/TrojanDownloader.Carberp.AD в форуме Обнаружение вредоносного кода и ложные срабатывания.
еще эта же машина жаловалась так:

09.03.2012 10:18:04 -  PC-1-3:  C:\System Volume Information\_restore{062FB417-4F68-4D44-9F1C-4BA0BF7A1B51}\RP401\A0016289.exe Win32/Kryptik.ACAC. Esset его изолировал.

тогда я сейчас делаю Malwarebytes лог и сюда его прикрепляю
09.03.2012 15:21:30, kas.]]> http://forum.esetnod32.ru/messages/forum6/topic4609/message36564/ http://forum.esetnod32.ru/messages/forum6/topic4609/message36564/ Fri, 09 Mar 2012 15:21:30 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Carberp.AD Win32/TrojanDownloader.Carberp.AD в форуме Обнаружение вредоносного кода и ложные срабатывания.
Значит надо смотреть журнал антивируса - скорее всего он его и снес. Для зачистки хвостов не помешает сделать лог Malwarebytes
09.03.2012 15:18:30, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic4609/message36563/ http://forum.esetnod32.ru/messages/forum6/topic4609/message36563/ Fri, 09 Mar 2012 15:18:30 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Carberp.AD Win32/TrojanDownloader.Carberp.AD в форуме Обнаружение вредоносного кода и ложные срабатывания.
1) зловред создал папку 0aBGtkg5p1uv0kh в корне диска C с 2 файлами (klpclst.dat и wndsksi.inf)
2) сидел в autorun пользователя еще 7 числа. сейчас его нет. после ребута
09.03.2012 15:17:08, kas.]]> http://forum.esetnod32.ru/messages/forum6/topic4609/message36562/ http://forum.esetnod32.ru/messages/forum6/topic4609/message36562/ Fri, 09 Mar 2012 15:17:08 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Carberp.AD Win32/TrojanDownloader.Carberp.AD в форуме Обнаружение вредоносного кода и ложные срабатывания.
Теперь нормальный лог, но не видно зловреда.
Сделайте лог программой TDSSkiller. Ничего оттуда не удалять. Лог будет лежать в корне системного раздела (обычно диск С).
09.03.2012 15:09:48, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic4609/message36561/ http://forum.esetnod32.ru/messages/forum6/topic4609/message36561/ Fri, 09 Mar 2012 15:09:48 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Carberp.AD Win32/TrojanDownloader.Carberp.AD в форуме Обнаружение вредоносного кода и ложные срабатывания.
сделал в safe mode
PC-1-3_2012-03-09_14-53-19.7z
09.03.2012 14:59:15, kas.]]> http://forum.esetnod32.ru/messages/forum6/topic4609/message36560/ http://forum.esetnod32.ru/messages/forum6/topic4609/message36560/ Fri, 09 Mar 2012 14:59:15 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Carberp.AD Win32/TrojanDownloader.Carberp.AD в форуме Обнаружение вредоносного кода и ложные срабатывания.
под учеткой юзера делал (active directory). шас сделаю в без. режиме под LA
09.03.2012 14:47:46, kas.]]> http://forum.esetnod32.ru/messages/forum6/topic4609/message36559/ http://forum.esetnod32.ru/messages/forum6/topic4609/message36559/ Fri, 09 Mar 2012 14:47:46 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Carberp.AD Win32/TrojanDownloader.Carberp.AD в форуме Обнаружение вредоносного кода и ложные срабатывания.
Не под учетной записью Гостя случайно работаете? Лог uVS не удачный получился. Сделайте его в Безопасном режиме
09.03.2012 14:36:38, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic4609/message36558/ http://forum.esetnod32.ru/messages/forum6/topic4609/message36558/ Fri, 09 Mar 2012 14:36:38 +0400 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Carberp.AD Win32/TrojanDownloader.Carberp.AD в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Имя колонки Значение
Идентификатор угрозы Угроза 7402
Имя клиента Pc-1-3
Имя компьютера Pc-1-3
MAC-адрес 001d6014450b
Главный сервер Veka-1c
Дата получения 2012-03-07 18:25:29
Дата обнаружения 2012-03-07 18:15:18
Уровень Критическое предупреждение
Сканер Модуль сканирования файлов, исполняемых при запуск
Объект файл
Имя Оперативная память » explorer.exe(1928)
Угроза вероятно модифицированный  Win32/TrojanDownloader.Carberp.AD  троянская программа
Действие очистка невозможна
Пользователь
Информация
Детали Готово

=============

Юзер словил вирус. безопасно ли заходить под учеткой дом.админа и как заразу вычистить.
PC-1-3_2012-03-09_14-21-45.7z
sysinspector.7z
09.03.2012 14:33:28, kas.]]> http://forum.esetnod32.ru/messages/forum6/topic4609/message36557/ http://forum.esetnod32.ru/messages/forum6/topic4609/message36557/ Fri, 09 Mar 2012 14:33:28 +0400 Обнаружение вредоносного кода и ложные срабатывания