Форум esetnod32.ru [тема: Оперативная память explorer.exe] http://forum.esetnod32.ru Новое в теме Оперативная память explorer.exe форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 15 Apr 2026 01:14:02 +0300 Оперативная память explorer.exe Оперативная память explorer.exe Вирус Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
23.07.2012 11:03:47, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic6385/message48791/ http://forum.esetnod32.ru/messages/forum6/topic6385/message48791/ Mon, 23 Jul 2012 11:03:47 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память explorer.exe Оперативная память explorer.exe Вирус Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
Спасибо пмогло, качественно и оперативно
высылаю отчет для анализа
mbam-log-2012-07-23 (09-56-59).txt
23.07.2012 10:56:12, newworld.]]> http://forum.esetnod32.ru/messages/forum6/topic6385/message48790/ http://forum.esetnod32.ru/messages/forum6/topic6385/message48790/ Mon, 23 Jul 2012 10:56:12 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память explorer.exe Оперативная память explorer.exe Вирус Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

====code==== 
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\C3LM4KJ4.EXE
bl 172A4686E8349C6AE0039D731C8A0F59 135168
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\C3LM4KJ4.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\LDNHF5CSTWU.EXE
bl C0C8B2BCCAD78D95888A6B43EB8E93D7 198144
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\LDNHF5CSTWU.EXE
exec MSIEXEC.EXE /X{9B202815-09F6-4D0F-96F8-24A42277B9B8}
regt 1
regt 2
regt 3
regt 7
regt 18
deltmp
delnfr
restart
============= И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда sendvirus2011@gmail.com

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа
20.07.2012 10:22:38, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic6385/message48612/ http://forum.esetnod32.ru/messages/forum6/topic6385/message48612/ Fri, 20 Jul 2012 10:22:38 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память explorer.exe Оперативная память explorer.exe Вирус Win32/TrojanDownloader.Carberp.AF в форуме Обнаружение вредоносного кода и ложные срабатывания.
Добрый день!
На днях столкнулся с зловредным зверьком, помогите избавиться
Записи журнала:
19.07.2012 14:01:09 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(1632) вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна
19.07.2012 12:14:48 Защита в режиме реального времени файл C:\System Volume Information\_restore{AB8E2D5D-5184-40FB-A2B3-5F7FA052E8D3}\RP37\A0005663.exe модифицированный Win32/Injector.PVZ троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\System32\svchost.exe.
19.07.2012 11:12:25 Защита в режиме реального времени файл C:\System Volume Information\_restore{AB8E2D5D-5184-40FB-A2B3-5F7FA052E8D3}\RP36\A0002622.exe Win32/TrojanDownloader.Carberp.AB троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\System32\svchost.exe.
19.07.2012 8:00:06 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(1632) вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна FIN3\Admin
18.07.2012 13:03:11 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(1628) вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна
18.07.2012 11:15:51 Защита в режиме реального времени файл C:\System Volume Information\_restore{AB8E2D5D-5184-40FB-A2B3-5F7FA052E8D3}\RP36\A0002585.exe вероятно модифицированный Win32/TrojanDownloader.Agent.HYHVSAZ троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\System32\svchost.exe.

прилагаю образ
FIN3_2012-07-20_10-01-38.rar
20.07.2012 10:17:40, newworld.]]> http://forum.esetnod32.ru/messages/forum6/topic6385/message48611/ http://forum.esetnod32.ru/messages/forum6/topic6385/message48611/ Fri, 20 Jul 2012 10:17:40 +0400 Обнаружение вредоносного кода и ложные срабатывания