Форум esetnod32.ru [тема: Оперативная память = explorer.exe(2256)] http://forum.esetnod32.ru Новое в теме Оперативная память = explorer.exe(2256) форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sat, 02 May 2026 21:01:20 +0300 Оперативная память = explorer.exe(2256) Оперативная память = explorer.exe(2256) Оперативная память = explorer.exe(2256) в форуме Обнаружение вредоносного кода и ложные срабатывания.
betwinservicexp сам по себе безопасен (это легальная программа), в данном случае бэкдор использует его для терминального доступа к рабочему столу, сам бэкдор мы удалили. посмотрите, возможно ли его деинсталлировать в через установленные программы.
18.04.2012 12:36:10, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic5256/message40848/ http://forum.esetnod32.ru/messages/forum6/topic5256/message40848/ Wed, 18 Apr 2012 12:36:10 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2256) Оперативная память = explorer.exe(2256) Оперативная память = explorer.exe(2256) в форуме Обнаружение вредоносного кода и ложные срабатывания.
мда в безопасном не получится сейчас, тоьлко завтра, удаленно его юзаю , естькакието другие варианты?
18.04.2012 12:33:05, trostyan.]]> http://forum.esetnod32.ru/messages/forum6/topic5256/message40846/ http://forum.esetnod32.ru/messages/forum6/topic5256/message40846/ Wed, 18 Apr 2012 12:33:05 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2256) Оперативная память = explorer.exe(2256) Оперативная память = explorer.exe(2256) в форуме Обнаружение вредоносного кода и ложные срабатывания.
нет, новые рождаются. логи нужны теперь от малваребайт после выполнения скрипта в безопасном режиме.
18.04.2012 09:59:55, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic5256/message40826/ http://forum.esetnod32.ru/messages/forum6/topic5256/message40826/ Wed, 18 Apr 2012 09:59:55 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2256) Оперативная память = explorer.exe(2256) Оперативная память = explorer.exe(2256) в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:

====quote====
trostyan пишет:

santy, скажите а как можно узнать источник ,откуда эта зараза забегает...у меня уже вторую машину заражает...думаю что где то в сетке лежит
=============

это пробивает не из локльной сети, а из инета. Carberp+RDPDoor, к тому же подменены настройки DNS, а это значит, что браузеры идут не туда - куда думают, а куда им говорят.
=============

че еще не всех поймали???? ох уж эти жулики
18.04.2012 09:43:22, trostyan.]]> http://forum.esetnod32.ru/messages/forum6/topic5256/message40822/ http://forum.esetnod32.ru/messages/forum6/topic5256/message40822/ Wed, 18 Apr 2012 09:43:22 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2256) Оперативная память = explorer.exe(2256) Оперативная память = explorer.exe(2256) в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
trostyan пишет:
santy, скажите а как можно узнать источник ,откуда эта зараза забегает...у меня уже вторую машину заражает...думаю что где то в сетке лежит
=============
это пробивает не из локльной сети, а из инета. Carberp+RDPDoor, к тому же подменены настройки DNS, а это значит, что браузеры идут не туда - куда думают, а куда им говорят.
18.04.2012 08:44:56, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic5256/message40819/ http://forum.esetnod32.ru/messages/forum6/topic5256/message40819/ Wed, 18 Apr 2012 08:44:56 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2256) Оперативная память = explorer.exe(2256) Оперативная память = explorer.exe(2256) в форуме Обнаружение вредоносного кода и ложные срабатывания.
данный скрипт выполните в безопасном режиме.
--------------
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
delall %Sys32%\DRIVERS\BETWINKF.SYS
delall %Sys32%\DRIVERS\BETWINMF.SYS
delall %Sys32%\BETWINSERVICEXP.EXE
delall %Sys32%\DRIVERS\BETWINSYSTEM.SYS
delall %Sys32%\DRIVERS\BETWINVF.SYS
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
restart
=============
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
18.04.2012 08:41:42, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic5256/message40818/ http://forum.esetnod32.ru/messages/forum6/topic5256/message40818/ Wed, 18 Apr 2012 08:41:42 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2256) Оперативная память = explorer.exe(2256) Оперативная память = explorer.exe(2256) в форуме Обнаружение вредоносного кода и ложные срабатывания.
нет, логи веба некогда смотреть. Я так понимаю вы у нас рабочие компьютеры лечите.
18.04.2012 08:38:41, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic5256/message40817/ http://forum.esetnod32.ru/messages/forum6/topic5256/message40817/ Wed, 18 Apr 2012 08:38:41 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2256) Оперативная память = explorer.exe(2256) Оперативная память = explorer.exe(2256) в форуме Обнаружение вредоносного кода и ложные срабатывания.
перед тем как отправить вам логи я просканировал систему NODом и webо"вской утилиткой, нод не нашел подозрительные файлы Веб нашел..я подумал может вам будет интересно вот лог Weba, там два файла были удалены....


и лог UVS  после скрипта
CureIt.log
WORK_2012-04-18_12-22-28.7z
18.04.2012 08:31:41, trostyan.]]> http://forum.esetnod32.ru/messages/forum6/topic5256/message40816/ http://forum.esetnod32.ru/messages/forum6/topic5256/message40816/ Wed, 18 Apr 2012 08:31:41 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2256) Оперативная память = explorer.exe(2256) Оперативная память = explorer.exe(2256) в форуме Обнаружение вредоносного кода и ложные срабатывания.
сейчас система досканируется, и я выполню скрипт...

santy, скажите а как можно узнать источник ,откуда эта зараза забегает...у меня уже вторую машину заражает...думаю что где то в сетке лежит
18.04.2012 08:18:33, trostyan.]]> http://forum.esetnod32.ru/messages/forum6/topic5256/message40815/ http://forum.esetnod32.ru/messages/forum6/topic5256/message40815/ Wed, 18 Apr 2012 08:18:33 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2256) Оперативная память = explorer.exe(2256) Оперативная память = explorer.exe(2256) в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %Sys32%\MSWXMKSL.EXE
addsgn 964D779A556A19FBEEBE51D978E853054D10ECB689AA7BF1A0C3C5BC50559D5C704194DE5BBDCD9017A4E21E4A3249F9A4F3CCF191DEDA2C4777CC07E747221B 14 tr.Agent
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\M4E0K18VKJA.EXE
addsgn A7679B1BB9F24C720B87F8E6A38DA605258AFC31CC0E1F7885C302F9C8B2714C23D086A73D559D49ECC57C9F4616493D3867E87255DA7769B176A42FC766AB5E 8 tr.Carberp
bl 2F00381FB9E7AEC54D523D3251ACE134 299560
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\M4E0K18VKJA.EXE
delall %Sys32%\MSWXMKSL.EXE
addsgn A7679B19B93AA4AA3CD4AEE2ED8DC26D251ABCD461122678854001B806BCB02423BDEEAD54C9759B1180841C821A1E90BDB7E80B03C0DAD9C523982FC785E67F 8 tr.Carberp
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\JQSK9WSINO0.EXE
bl FEED27537AEFF3747A652F92798091AB 184320
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\JQSK9WSINO0.EXE
addsgn A76592C9033DCF0F07D5DBB48CD41205256257FC89FAE00D953CB0B0AFA379ED2327C347C185C217704946934643C01FFE33E4253FDADADAC50AAF2FC78F678B 64 rdpdoor
zoo %Sys32%\XTGINA.DLL
delall %Sys32%\XTGINA.DLL
deltmp
delnfr
setdns Local\4\{B0D2B843-5410-4032-8651-46D22AF435AE}\
setdns Подключение по локальной сети 2\4\{51FF7190-9224-4085-BA1E-CE21510EA33F}\
setdns Подключение по локальной сети 3\4\{38D6D195-DB0E-4C27-943A-ED08A564CFD8}\
setdns Подключение по локальной сети\4\{D8740166-E042-456B-8174-401A0855CB92}\
EXEC cmd /c"ipconfig /flushdns"
CZOO
restart
=============
перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после скрипта (например: 2011-12-31_23-59-59.rar/7z)  отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru  
------------
далее,
сделайте новый образ автозапуска;

сделайте дополнительно быструю проверку системы в малваребайт
18.04.2012 08:08:10, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic5256/message40814/ http://forum.esetnod32.ru/messages/forum6/topic5256/message40814/ Wed, 18 Apr 2012 08:08:10 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2256) Оперативная память = explorer.exe(2256) Оперативная память = explorer.exe(2256) в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте в файле журнал NOd вот эти бяки...каким скриптом их убить???помогите я знаю вы могете

18.04.2012 8:02:19 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(2256) вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна WORK\User_142
17.04.2012 7:48:56 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(2392) модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа очистка невозможна WORK\User_142
WORK_2012-04-18_10-21-01.7z
18.04.2012 07:34:47, trostyan.]]> http://forum.esetnod32.ru/messages/forum6/topic5256/message40813/ http://forum.esetnod32.ru/messages/forum6/topic5256/message40813/ Wed, 18 Apr 2012 07:34:47 +0400 Обнаружение вредоносного кода и ложные срабатывания