http://forum.esetnod32.ru Новое в теме Опять нарвался на Carberp.AD форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Tue, 14 Apr 2026 13:20:11 +0300 Опять нарвался на Carberp.AD в форуме Обнаружение вредоносного кода и ложные срабатывания.
переустановите на всякий случай. последняя версия 6.31
16.03.2012 01:19:13, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic4719/message37298/ http://forum.esetnod32.ru/messages/forum6/topic4719/message37298/ Fri, 16 Mar 2012 01:19:13 +0400 Обнаружение вредоносного кода и ложные срабатывания Опять нарвался на Carberp.AD в форуме Обнаружение вредоносного кода и ложные срабатывания.
Рекомендации выполнял. Java еще раз переустановить? Месяц назад же свежую ставил. 31 билд.
16.03.2012 01:16:25, f0b0s.]]> http://forum.esetnod32.ru/messages/forum6/topic4719/message37297/ http://forum.esetnod32.ru/messages/forum6/topic4719/message37297/ Fri, 16 Mar 2012 01:16:25 +0400 Обнаружение вредоносного кода и ложные срабатывания Опять нарвался на Carberp.AD в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
f0b0s пишет:
Что это за Carperb.AD, как от него защищаться-то?
=============
активный троянец в наше время. в интернете много информации о нем. лезет через дырявую Java
Выполните рекомендации, переустановите обязательно Java, не посещайте подозрительные сайты
16.03.2012 01:15:09, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic4719/message37296/ http://forum.esetnod32.ru/messages/forum6/topic4719/message37296/ Fri, 16 Mar 2012 01:15:09 +0400 Обнаружение вредоносного кода и ложные срабатывания Опять нарвался на Carberp.AD в форуме Обнаружение вредоносного кода и ложные срабатывания.
В папке с карантином нода (C:\Documents and Settings\vanya\Local Settings\Application Data\ESET\ESET NOD32 Antivirus\Quarantine\) сегодняшних файлов нет.
Карантин mbam-а выложил тут: http://rghost.ru/37045474

Что это за Carperb.AD, как от него защищаться-то? Никогда особо вирусами не страдал, а тут 2 раза за месяц и нод только постфактум уже сообщает.
16.03.2012 01:12:31, f0b0s.]]> http://forum.esetnod32.ru/messages/forum6/topic4719/message37294/ http://forum.esetnod32.ru/messages/forum6/topic4719/message37294/ Fri, 16 Mar 2012 01:12:31 +0400 Обнаружение вредоносного кода и ложные срабатывания Опять нарвался на Carberp.AD в форуме Обнаружение вредоносного кода и ложные срабатывания.
Выполните скрипт в uVS:

====quote====
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

deltmp
delnfr
bl 2BF4BEF954542E8E402F7A2CA6436B04 798024
delall %SystemDrive%\USERS\ANYA\APPDATA\LOCAL\YANDEX\UPDATER\PRAETO­RIAN.EXE
restart
=============
После перезагрузки вытащите из карантина антивируса последние файлы за сегодня, упакуйте их в архив и выложите на rghost.ru
Скорее всего с батниками был дроппер, который был удален антивирусом.
Из карантина Mbam тоже файлы нужны.
16.03.2012 00:48:52, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic4719/message37291/ http://forum.esetnod32.ru/messages/forum6/topic4719/message37291/ Fri, 16 Mar 2012 00:48:52 +0400 Обнаружение вредоносного кода и ложные срабатывания Опять нарвался на Carberp.AD в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вот я еще MBAM прошелся, он нашел те самые exe-шники (нод в Smart-поиске почему-то нет).
Нажал "Remove selected"
mbam-log-2012-03-16 (00-36-08).txt
16.03.2012 00:48:24, f0b0s.]]> http://forum.esetnod32.ru/messages/forum6/topic4719/message37290/ http://forum.esetnod32.ru/messages/forum6/topic4719/message37290/ Fri, 16 Mar 2012 00:48:24 +0400 Обнаружение вредоносного кода и ложные срабатывания Опять нарвался на Carberp.AD в форуме Обнаружение вредоносного кода и ложные срабатывания.
Запустил нод -- теперь после перезагрузки он ничего не находит, хотя до этого говорил, что никак не может удалить Carperb.AD.

1. Проверил в безопасном режиме. Прикладываю лог.
2. Также прикладываю лог, который писал uVS внизу окна, не странно ли то, что он говорит про "Неизвестный загрузчик SHA1" и про "сертификат анулирован"? (про физическое устройство не готово это кардридер).
3. И мне очень не нравятся несколько .bat-файлов, которые я обнаружил в папке TEMP. Там упоминаются те странные 0.много_цифр.exe, которые нод прибил, и подмена hosts.
M4_2012-03-15_23-49-27.7z
log.txt
npbpd.bat.txt
16.03.2012 00:06:33, f0b0s.]]> http://forum.esetnod32.ru/messages/forum6/topic4719/message37289/ http://forum.esetnod32.ru/messages/forum6/topic4719/message37289/ Fri, 16 Mar 2012 00:06:33 +0400 Обнаружение вредоносного кода и ложные срабатывания Опять нарвался на Carberp.AD в форуме Обнаружение вредоносного кода и ложные срабатывания.
Хм, sptd -- знакомое имя. uVS пока делал лог несколько раз сообщил, что к этому файлу "нет доступа, возможно он защищен", потом "доступ получен".
15.03.2012 23:33:57, f0b0s.]]> http://forum.esetnod32.ru/messages/forum6/topic4719/message37286/ http://forum.esetnod32.ru/messages/forum6/topic4719/message37286/ Thu, 15 Mar 2012 23:33:57 +0400 Обнаружение вредоносного кода и ложные срабатывания Опять нарвался на Carberp.AD в форуме Обнаружение вредоносного кода и ложные срабатывания.
Чисто тут.
Делайте лог uVS в безопасном режиме.
15.03.2012 23:33:28, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic4719/message37285/ http://forum.esetnod32.ru/messages/forum6/topic4719/message37285/ Thu, 15 Mar 2012 23:33:28 +0400 Обнаружение вредоносного кода и ложные срабатывания Опять нарвался на Carberp.AD в форуме Обнаружение вредоносного кода и ложные срабатывания.
что-то нашлсь
TDSSKiller.2.7.20.0_15.03.2012_23.30.58_log.txt
15.03.2012 23:32:13, f0b0s.]]> http://forum.esetnod32.ru/messages/forum6/topic4719/message37284/ http://forum.esetnod32.ru/messages/forum6/topic4719/message37284/ Thu, 15 Mar 2012 23:32:13 +0400 Обнаружение вредоносного кода и ложные срабатывания Опять нарвался на Carberp.AD в форуме Обнаружение вредоносного кода и ложные срабатывания.
Cделайте лог программой TDSSkiller. Ничего оттуда не удалять. Лог будет лежать в корне системного раздела (обычно диск С).
15.03.2012 23:29:16, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic4719/message37282/ http://forum.esetnod32.ru/messages/forum6/topic4719/message37282/ Thu, 15 Mar 2012 23:29:16 +0400 Обнаружение вредоносного кода и ложные срабатывания Опять нарвался на Carberp.AD в форуме Обнаружение вредоносного кода и ложные срабатывания.
Лог в аттаче. Спасибо.
Там еще было 2 других вируса (и именами вида 0.много_цифр.exe), но nod32 вроде их изолировал, а процессы я снял в таск менеджере.

И сразу вопрос, если можно: как эта зараза вообще ко мне попала?  В твиттере пролетела ссылка на www.death.ru.com, я туда зашел. Сайт довольно подозрительный -- выводит баннер, который если нажать закрыть перебрасывает на проституток. После этого нод тут же закричал о вирусне в папке TEMP и быстрым сканированием я обраружил вирус. Но с чего вдруг эти файлы вообще начали скачиваться? Какие-то скрипты? Вроде как джава запускалась, да (в трее иконка появилась). Нет ли стандартного способа/настройки/программы, которая бы недопускала загрузку exe-шников, пока я этого не попрошу? Почему нод это допустил -- он же частенько прерывает соединение?
M4_2012-03-15_23-12-28.7z
15.03.2012 23:22:35, f0b0s.]]> http://forum.esetnod32.ru/messages/forum6/topic4719/message37278/ http://forum.esetnod32.ru/messages/forum6/topic4719/message37278/ Thu, 15 Mar 2012 23:22:35 +0400 Обнаружение вредоносного кода и ложные срабатывания