Форум esetnod32.ru [тема: Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна] http://forum.esetnod32.ru Новое в теме Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sun, 26 Apr 2026 23:45:23 +0300 Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна обнаружено прграммой нод 32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
спасибо, постараюсь выполнить
23.06.2012 12:57:40, aragorn.]]> http://forum.esetnod32.ru/messages/forum6/topic5979/message46746/ http://forum.esetnod32.ru/messages/forum6/topic5979/message46746/ Sat, 23 Jun 2012 12:57:40 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна обнаружено прграммой нод 32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
2012.06.23 09:16

====quote====
Загружен скрипт: C:\script.txt
======= Начало исполнения скрипта =======
--------------------------------------------------------
fixvbr C: 5
--------------------------------------------------------
Запись загрузчика в VBR:
C:
Код в сектор 0 успешно записан.
Запись NTFS IPL:
C:
Выполнено.

=============
зараженный загрузчик перезаписан,

по логу tdsskiller все чисто

====quote====
10:28:35.0953 5084 ============================================================­
10:28:35.0953 5084 Scan finished
10:28:35.0953 5084 ============================================================­
10:28:35.0968 1628 Detected object count: 0
10:28:35.0968 1628 Actual detected object count: 0
10:28:57.0656 5424 Deinitialize success


=============
проблема решена
Выполните наши рекомендации по безопасности,
http://forum.esetnod32.ru/forum9/topic3998/
23.06.2012 12:43:25, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic5979/message46744/ http://forum.esetnod32.ru/messages/forum6/topic5979/message46744/ Sat, 23 Jun 2012 12:43:25 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна обнаружено прграммой нод 32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
готово
ACER-D29F329B82_2012-06-23_09-19-23.7z
TDSSKiller.2.7.41.0_23.06.2012_10.27.11_log.rar
23.06.2012 10:37:06, aragorn.]]> http://forum.esetnod32.ru/messages/forum6/topic5979/message46743/ http://forum.esetnod32.ru/messages/forum6/topic5979/message46743/ Sat, 23 Jun 2012 10:37:06 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна обнаружено прграммой нод 32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполните в uVS (из под Winpe) скрипт из файла

файл скрипта скачать отсюда
http://rghost.ru/38822287

перегрузить систему в нормальный режиме.

далее,
сделайте еще раз для проверки лог tdsskiller, только скачайте обновленную версию 2.7.41 с оф.сайта.
23.06.2012 06:36:52, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic5979/message46740/ http://forum.esetnod32.ru/messages/forum6/topic5979/message46740/ Sat, 23 Jun 2012 06:36:52 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна обнаружено прграммой нод 32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вот что получилось
образ из под WinPe и tdsskiller
ACER-D29F329B82_2012-06-23_02-16-14.7z
tdsskiller.rar
23.06.2012 03:02:08, aragorn.]]> http://forum.esetnod32.ru/messages/forum6/topic5979/message46739/ http://forum.esetnod32.ru/messages/forum6/topic5979/message46739/ Sat, 23 Jun 2012 03:02:08 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна обнаружено прграммой нод 32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
если есть какой либо файловый менеджер, например far или TC, надо перейти в каталог, где лежит tdsskiller (а он у вас есть) и набрать в командной строке эту команду.

====quote====
tdsskiller.exe -qboot -qpath c:\tdsskiller
=============
tdsskiller должен при этом скопировать загрузчики для анализа с таким результатом
Пользователь добавил изображение

потом можно образ сделать из под WinpePE
12.06.2012 15:11:04, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic5979/message45955/ http://forum.esetnod32.ru/messages/forum6/topic5979/message45955/ Tue, 12 Jun 2012 15:11:04 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна обнаружено прграммой нод 32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
простите, не могу разобраться с этим "tdsskiller -qboot -qpath c:\tdsskiller" из вашего сообщения, что нужно сделать?
12.06.2012 15:00:48, aragorn.]]> http://forum.esetnod32.ru/messages/forum6/topic5979/message45954/ http://forum.esetnod32.ru/messages/forum6/topic5979/message45954/ Tue, 12 Jun 2012 15:00:48 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна обнаружено прграммой нод 32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
да, Carberp на месте
придется чистить из под Winpe&uVS
---------
выполните такую команду:
tdsskiller -qboot -qpath c:\tdsskiller

сделайте образ из под Winpe
http://forum.esetnod32.ru/forum27/topic2102/

образ автозапуска полученный из под WinPe и архив папки c:\tdsskiller добавить на форум
12.06.2012 13:50:56, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic5979/message45952/ http://forum.esetnod32.ru/messages/forum6/topic5979/message45952/ Tue, 12 Jun 2012 13:50:56 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна обнаружено прграммой нод 32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
новый образ автозапуска в uVS
ACER-D29F329B82_2012-06-12_11-09-05.7z
12.06.2012 11:25:33, aragorn.]]> http://forum.esetnod32.ru/messages/forum6/topic5979/message45944/ http://forum.esetnod32.ru/messages/forum6/topic5979/message45944/ Tue, 12 Jun 2012 11:25:33 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна обнаружено прграммой нод 32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
хм, второй случай уже, когда tdsskiller не видит бутовый Carberp.
--------
сделайте новый образ автозапуска в uVS
12.06.2012 10:31:54, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic5979/message45943/ http://forum.esetnod32.ru/messages/forum6/topic5979/message45943/ Tue, 12 Jun 2012 10:31:54 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна обнаружено прграммой нод 32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
вот лог Mbam

и лог программой TDSSkiller,

но Nod всё равно показывает: Оперативная память = explorer.exe(504) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна
mbam-log-2012-06-12 (09-45-30).txt
TDSSKiller.2.7.36.0_12.06.2012_09.54.19_log.txt
12.06.2012 10:27:19, aragorn.]]> http://forum.esetnod32.ru/messages/forum6/topic5979/message45942/ http://forum.esetnod32.ru/messages/forum6/topic5979/message45942/ Tue, 12 Jun 2012 10:27:19 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна обнаружено прграммой нод 32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
====code==== 
;;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref HTTP://GLOBAL.ACER.COM/
delref HTTP://GOOGLE.ICQ.COM
delref HTTP://JS.STATIC.YANDEX.NET/JQUERY/1.3.2/_JQUERY.JS
delref HTTP://MAIL.RU/CNT/7898
delref HTTP://UK.RD.YAHOO.COM/CUSTOMIZE/YCOMP/DEFAULTS/SP/*HTTP://UK.YAHOO.COM
delref HTTP://WWW.RUSRADIO.RU/UPLOAD/IMAGES/BLANK.GIF
delref HTTP://WWW.RUSRADIO.RU/UPLOAD/IMAGES/POPUP_ONLINE_BG.JPG
deltmp
delnfr
fixvbr C: 5
restart
=============
- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится;
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Также сделайте лог программой TDSSkiller. Ничего оттуда не удалять. Лог будет лежать в корне системного раздела (обычно диск С).
12.06.2012 03:28:52, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic5979/message45936/ http://forum.esetnod32.ru/messages/forum6/topic5979/message45936/ Tue, 12 Jun 2012 03:28:52 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна обнаружено прграммой нод 32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
помогите. Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

архив с образом автозапуска
ACER-D29F329B82_2012-06-11_22-58-24.7z
11.06.2012 23:04:39, aragorn.]]> http://forum.esetnod32.ru/messages/forum6/topic5979/message45931/ http://forum.esetnod32.ru/messages/forum6/topic5979/message45931/ Mon, 11 Jun 2012 23:04:39 +0400 Обнаружение вредоносного кода и ложные срабатывания