Форум esetnod32.ru [тема: Вирус в оперативной памяти] http://forum.esetnod32.ru Новое в теме Вирус в оперативной памяти форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sun, 03 May 2026 22:23:04 +0300 Вирус в оперативной памяти Вирус в оперативной памяти Оперативная память » explorer.exe(2028) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Представители корпорации Microsoft сообщили, что в состав Windows 7 Service Pack 1 обязательно будет включено подвергшееся обновлению средство Windows Activation Technologies (WAT), которое отвечает за оценку подлинности копии операционной системы и проверку модулей ОС, чаще всего изменяемых злоумышленниками для нелегальной активации продукта, установленной на той или иной машине.
=============

возможно, активация системы слетит после лечения в tdsskiller, не надо сразу все удалять,
вначале хелперы посмотрят лог, и скажут вам, что удалить, а что пропустить.
------
тогда вопрос: система лицензионная или ломанная? эта инфа будет полезна для разработчика tdsskiller, если он сносит системные службы в лицензионной копии win
25.03.2012 13:12:17, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic4876/message38482/ http://forum.esetnod32.ru/messages/forum6/topic4876/message38482/ Sun, 25 Mar 2012 13:12:17 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус в оперативной памяти Вирус в оперативной памяти Оперативная память » explorer.exe(2028) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
хм,
это интересно что такое

====quote====
11:51:43.0150 0212 HKLM\SYSTEM\ControlSet001\services\WatAdminSvc - will be deleted on reboot
11:51:43.0197 0212 HKLM\SYSTEM\ControlSet002\services\WatAdminSvc - will be deleted on reboot

=============
-------

====quote====
Product: Microsoft® Windows® Operating SystemCompany: Microsoft CorporationDescription: Windows Activation Technologies ServiceVersion: 7.1.7600.16395 (win7_gdr_oob_gaoob(wmbla).100127-1819)MD5: 3CEC96DE223E49EAAE3651FCF8FAEA6CSize: 1255736Directory: %SYSDIR%\Wat\WatAdminSvc.exeOperating System: Windows 7Discovered:Mar 20 2010

=============
http://systemexplorer.net/filereviews.php?fid=13262

возможно, что-то полезное снес tdsskiller
25.03.2012 13:01:07, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic4876/message38481/ http://forum.esetnod32.ru/messages/forum6/topic4876/message38481/ Sun, 25 Mar 2012 13:01:07 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус в оперативной памяти Вирус в оперативной памяти Оперативная память » explorer.exe(2028) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
При повторном сканировании
mbam-log-2012-03-25 (12-16-29).txt
TDSSKiller.2.7.22.0_25.03.2012_12.27.43_log.txt
25.03.2012 12:34:01, Roland.]]> http://forum.esetnod32.ru/messages/forum6/topic4876/message38477/ http://forum.esetnod32.ru/messages/forum6/topic4876/message38477/ Sun, 25 Mar 2012 12:34:01 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус в оперативной памяти Вирус в оперативной памяти Оперативная память » explorer.exe(2028) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
После сканирования Mbam и TDSSkiller Нод "ругаться" перестал
Вот логи
mbam-log-2012-03-25 (11-37-43).txt
TDSSKiller.2.7.22.0_25.03.2012_11.50.25_log.txt
25.03.2012 12:32:28, Roland.]]> http://forum.esetnod32.ru/messages/forum6/topic4876/message38476/ http://forum.esetnod32.ru/messages/forum6/topic4876/message38476/ Sun, 25 Mar 2012 12:32:28 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус в оперативной памяти Вирус в оперативной памяти Оперативная память » explorer.exe(2028) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Что с проблемой? Где еще 2 лога?
25.03.2012 12:07:41, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic4876/message38475/ http://forum.esetnod32.ru/messages/forum6/topic4876/message38475/ Sun, 25 Mar 2012 12:07:41 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус в оперативной памяти Вирус в оперативной памяти Оперативная память » explorer.exe(2028) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Арвид,
Большое спасибо Вам за помощь и оперативность
25.03.2012 12:03:03, Roland.]]> http://forum.esetnod32.ru/messages/forum6/topic4876/message38474/ http://forum.esetnod32.ru/messages/forum6/topic4876/message38474/ Sun, 25 Mar 2012 12:03:03 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус в оперативной памяти Вирус в оперативной памяти Оперативная память » explorer.exe(2028) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена;
====code==== 
;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delref HTTP://MAIL.RU/CNT/7993/
delref HTTP://WWW.MAIL.RU/CNT/8746
delref HTTP://WWW.SMAXI.NET
delall %SystemDrive%\PROGRAMDATA\AVFGMKBOF58JVB.DLL
deltmp
delnfr
restart
=============
- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится;
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда.
- также сделайте лог программой TDSSkiller. Ничего оттуда не удалять. Лог будет лежать в корне системного раздела (обычно диск С).
25.03.2012 10:50:20, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic4876/message38473/ http://forum.esetnod32.ru/messages/forum6/topic4876/message38473/ Sun, 25 Mar 2012 10:50:20 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус в оперативной памяти Вирус в оперативной памяти Оперативная память » explorer.exe(2028) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Сделал лог uVS
Помогите, пожалуйста
2012-03-25_11-37-49.7z
25.03.2012 10:40:25, Roland.]]> http://forum.esetnod32.ru/messages/forum6/topic4876/message38472/ http://forum.esetnod32.ru/messages/forum6/topic4876/message38472/ Sun, 25 Mar 2012 10:40:25 +0400 Обнаружение вредоносного кода и ложные срабатывания