Форум esetnod32.ru [тема: explorer.exe(1560) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа] http://forum.esetnod32.ru Новое в теме explorer.exe(1560) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sat, 02 May 2026 15:18:03 +0300 explorer.exe(1560) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа explorer.exe(1560) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
а смысл тогда какой было добавить новый образ? тему закрываем.
29.03.2012 14:05:37, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic4939/message39056/ http://forum.esetnod32.ru/messages/forum6/topic4939/message39056/ Thu, 29 Mar 2012 14:05:37 +0400 Обнаружение вредоносного кода и ложные срабатывания explorer.exe(1560) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа explorer.exe(1560) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
Спасибо большое за советы. Однако, я уже переустановил винду.
Проблем нет)
Тему можно закрывать
29.03.2012 14:02:07, AndrPC.]]> http://forum.esetnod32.ru/messages/forum6/topic4939/message39055/ http://forum.esetnod32.ru/messages/forum6/topic4939/message39055/ Thu, 29 Mar 2012 14:02:07 +0400 Обнаружение вредоносного кода и ложные срабатывания explorer.exe(1560) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа explorer.exe(1560) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
AndrPC, выполните любой из скриптов,
видимо выполнение скрипта из сообщения 3 завершилось BSOD
29.03.2012 11:36:39, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic4939/message39036/ http://forum.esetnod32.ru/messages/forum6/topic4939/message39036/ Thu, 29 Mar 2012 11:36:39 +0400 Обнаружение вредоносного кода и ложные срабатывания explorer.exe(1560) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа explorer.exe(1560) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
addsgn A7679BC9DE37442480A1A2E6EFB50280D3FFF575B4D6837CE9C32E9AD328703826943D554B773C098A84E81A866240AD2B8C17A2D01AC4207A21F7C7CFF9DD8C 64 tr.majachok
zoo %Sys32%\QNNWJRJ.DLL
delref %Sys32%\QNNWJRJ.DLL
addsgn 730652F7556A19F9E75742A10C591205250BF18CFFB81F7EEA81C5D447EE714CCBA32CA8C168DE516903439A54790BFA15CDE8725A5EB72C2D7797EF2EFC2073 64 tr.winsock
zoo %SystemDrive%\PROGRAMDATA\SZNBW8VYNB.DLL
delref %SystemDrive%\PROGRAMDATA\SZNBW8VYNB.DLL
deltmp
delnfr
regt 14
EXEC cmd /c"netsh winsock reset catalog"
restart
=============
перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru  
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем virus )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
29.03.2012 11:34:41, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic4939/message39035/ http://forum.esetnod32.ru/messages/forum6/topic4939/message39035/ Thu, 29 Mar 2012 11:34:41 +0400 Обнаружение вредоносного кода и ложные срабатывания explorer.exe(1560) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа explorer.exe(1560) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

====code==== 
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\PROGRAMDATA\SZNBW8VYNB.DLL
bl E720DF86F8970E9122923F8294A6C460 97792
delall %SystemDrive%\PROGRAMDATA\SZNBW8VYNB.DLL
zoo %Sys32%\QNNWJRJ.DLL
bl E5455B8D769FAA13C45E0152A22DF3EB 45056
regt 1
regt 2
regt 3
regt 7
regt 18
deltmp
delnfr
EXEC cmd /c"netsh winsock reset catalog"
sreg
delall %Sys32%\QNNWJRJ.DLL
areg
============= И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда sendvirus2011@gmail.com
29.03.2012 11:31:26, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic4939/message39034/ http://forum.esetnod32.ru/messages/forum6/topic4939/message39034/ Thu, 29 Mar 2012 11:31:26 +0400 Обнаружение вредоносного кода и ложные срабатывания explorer.exe(1560) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа explorer.exe(1560) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
выход в интернет ограничен - на некоторые сайты могу зайти (google youtube), на другие нет - сообщение "соединение закрыто удаленным сервером. Это в Опере, интернет эксплорер и хром вообще не работают.
ANDR-PC_2012-03-29_18-02-56.7z
29.03.2012 11:16:21, AndrPC.]]> http://forum.esetnod32.ru/messages/forum6/topic4939/message39032/ http://forum.esetnod32.ru/messages/forum6/topic4939/message39032/ Thu, 29 Mar 2012 11:16:21 +0400 Обнаружение вредоносного кода и ложные срабатывания explorer.exe(1560) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа explorer.exe(1560) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
по логу мбам удалите все найденное,

и сделайте новый образ автозапуска в uVS.
28.03.2012 17:52:56, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic4939/message38940/ http://forum.esetnod32.ru/messages/forum6/topic4939/message38940/ Wed, 28 Mar 2012 17:52:56 +0400 Обнаружение вредоносного кода и ложные срабатывания explorer.exe(1560) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа explorer.exe(1560) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
вирус из оперативной памяти удален. Архив из UVS отправил. Прикрепляю файл с отчетом.
Однако, почему-то при попытки выйти в интернет сообщает, что соединение закрыто удаленным сервером. Соответственно не могу загрузить новые базы NOD.
Пока поищу в настройках
mbam-log-2012-03-28 (23-40-47).txt
28.03.2012 17:22:20, AndrPC.]]> http://forum.esetnod32.ru/messages/forum6/topic4939/message38928/ http://forum.esetnod32.ru/messages/forum6/topic4939/message38928/ Wed, 28 Mar 2012 17:22:20 +0400 Обнаружение вредоносного кода и ложные срабатывания explorer.exe(1560) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа explorer.exe(1560) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
Повторно запустите програму UVS и выберите Меню "Скрипт" - "выполнить скрипт находящийся в буфере обмена".
И вставьте текст скрипта:


====quote====

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

; C:\USERS\ANDR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ULHQJFF748E.EXE
addsgn A7679BF0AA0268264BD4C67156881261848AFCF689AA7BF1A0C3C5BC5055­9D24704194DE5BBDAE92A2DD78F544E95CAE3D9FE82BD6D7B0AC69775BAC­CA02A237 8 carberp.ad

zoo %SystemDrive%\USERS\ANDR\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\ULHQJFF748E.EXE
bl 8004D3297C4DF15AAA7009E7CA88FCAC 194560
delall %SystemDrive%\USERS\ANDR\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\ULHQJFF748E.EXE
zoo %Sys32%\QNNWJRJ.DLL
delall %Sys32%\QNNWJRJ.DLL

; C:\PROGRAMDATA\SZNBW8VYNB.DLL
addsgn 730652F7556A19F9E75742A10C591205250BF18CFFB81F7EEA81C5D447EE­714CCBA32CA8C168DE516903439A54790BFA15CDE8725A5EB72C2D7797EF­2EFC2073 64 winsock

zoo %SystemDrive%\PROGRAMDATA\SZNBW8VYNB.DLL
bl E720DF86F8970E9122923F8294A6C460 97792
delall %SystemDrive%\PROGRAMDATA\SZNBW8VYNB.DLL
zoo %SystemDrive%\USERS\ANDR\APPDATA\LOCAL\TEMP\_UNINST_03348102­.BAT
delall %SystemDrive%\USERS\ANDR\APPDATA\LOCAL\TEMP\_UNINST_03348102­.BAT
EXEC cmd /c"netsh winsock reset catalog"
deltmp
delnfr
restart

=============
И нажмите выполнить. Компьютер перезагрузится.

Сделайте дополнительно проверку системы malwarebytes (free version): http://www.malwarebytes.org/mbam.php
Установить (только сканер!), отказаться от тестового периода, обновить базы, выполнить быстрое сканирование, после завершения сканирования,текстовый лог сохранить как файл, пришлите нам этот лог файл.

В папке с программой UVS появится папка zoo, ее нужно поместить в архив, установить пароль infected и прислать на адрес support@esetnod32.ru с просьбой добавить файл в вирусную базу.
28.03.2012 15:38:41, Валентин.]]> http://forum.esetnod32.ru/messages/forum6/topic4939/message38894/ http://forum.esetnod32.ru/messages/forum6/topic4939/message38894/ Wed, 28 Mar 2012 15:38:41 +0400 Обнаружение вредоносного кода и ложные срабатывания explorer.exe(1560) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа explorer.exe(1560) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
http://rghost.ru/37270952
в безопасном режиме:
http://rghost.ru/37271613
он же:
ANDR-PC_2012-03-28_22-06-46.7z
28.03.2012 15:24:43, AndrPC.]]> http://forum.esetnod32.ru/messages/forum6/topic4939/message38892/ http://forum.esetnod32.ru/messages/forum6/topic4939/message38892/ Wed, 28 Mar 2012 15:24:43 +0400 Обнаружение вредоносного кода и ложные срабатывания explorer.exe(1560) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа explorer.exe(1560) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
Оперативная память » explorer.exe(1560) - вероятно модифицированный  Win32/TrojanDownloader.Carberp.AD  троянская программа - очистка невозможна
ANDR-PC_2012-03-28_21-20-30.7z
28.03.2012 15:03:23, AndrPC.]]> http://forum.esetnod32.ru/messages/forum6/topic4939/message38888/ http://forum.esetnod32.ru/messages/forum6/topic4939/message38888/ Wed, 28 Mar 2012 15:03:23 +0400 Обнаружение вредоносного кода и ложные срабатывания