http://forum.esetnod32.ru Новое в теме Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 29 Apr 2026 06:47:57 +0300 Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
спасибо,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
15.04.2013 05:43:27, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66394/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66394/ Mon, 15 Apr 2013 05:43:27 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
Хром заработал. Наверное чистка помогла.
По торренту понял. Раньше просто не было никаких тормозов. Браузер с торрентом работали шикарно. На Vista у отчима и браузер и торрент одновременно быстро работают... В настройках вроде все одинаково. У меня раньше тоже все идеально работало.. Пока "зверь" стоял. Сейчас переустановил систему и началась несовместимость.

Ладно, спасибо за помощь! Процветания вам!
14.04.2013 14:07:51, Роман Джиованни.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66373/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66373/ Sun, 14 Apr 2013 14:07:51 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
работающий mtorrent притормаживает браузеры
пробуйте установить ограничение на скорости передачи, приема.

по хрому не вполне понятно. не запускается вообще, или запускается, но страницы не открывает?
14.04.2013 13:27:47, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66371/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66371/ Sun, 14 Apr 2013 13:27:47 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
Есть еще пара вопросов, но совсем не по этой теме. При включении клиента U-torrent Opera уходит в состояние комы. Страницы прогружаются минут 5-10. С другими браузерами еще хуже. С этим можно как то бороться? или это особенность системы и ничего сделать нельзя?
А второй вопрос насчет Google Chrome. Он устанавливается, но при открытии страницы не открывает вообще... Можно что-нибудь с этим сделать?
Заранее спасибо за любую помощь в этих вопросах.
14.04.2013 12:10:02, Роман Джиованни.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66369/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66369/ Sun, 14 Apr 2013 12:10:02 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
Скрипт выполнил. После перезагрузки в нормальном режиме, просканировал ОП.
Сканирование длилось всего 2 секунды ) угроз 0. Как добавить лог сканирования?[FILE ID=62438]
проверка ОП.txt
14.04.2013 12:05:14, Роман Джиованни.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66368/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66368/ Sun, 14 Apr 2013 12:05:14 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
ясно,
тогда выполните все действия из сообщения 34,
это должно похоронить бутовый Carberp
14.04.2013 11:41:30, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66367/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66367/ Sun, 14 Apr 2013 11:41:30 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
Насколько знаю система одна, по крайней мере при загрузке других для выбора не предлагают.
Ну и резервная копия лежит где-то на жестком диске, но задолго до заражения и думаю это неважно )
устройство флешка Kingston data traveler C 10 Usb 8гб
14.04.2013 11:21:26, Роман Джиованни.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66366/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66366/ Sun, 14 Apr 2013 11:21:26 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполните в uVS (из под Winpe) скрипт из файла

файл скрипта скачайте отсюда
http://rghost.ru/private/45273584/d01514f07658da35bcd48d19b81275f5

после выполнения скрипта перегрузите систему в нормальный режим

выполните в ESET NOD32 сканирование только оперативной памяти

добавьте лог сканирования на форум
14.04.2013 07:28:29, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66365/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66365/ Sun, 14 Apr 2013 07:28:29 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
система на жестком диске одна?

это что у вас за устройство? флэшка?

====quote====
MBR#1 [7,5GB]: Неизвестный загрузчик SHA1: 7F0BE8F0963DF220CA93267CCA00A3624DA96305
=============
-----------------
вобщем, есть заражение в системе бутовым вариантом Carberp


====quote====
Полное имя IPL NTFS [C:]
Имя файла IPL NTFS [C:]
Тек. статус ?ВИРУС? загрузчик

www.virustotal.com Хэш НЕ найден на сервере.
www.virustotal.com 2013-04-14 [2013-04-14 03:16:55 UTC ( 5 minutes ago )]
BitDefender Rootkit.MBR.Mayachok.B
AntiVir BOO/Cidox.A

Сохраненная информация на момент создания образа
Статус загрузчик
Размер 7680 байт

Доп. информация на момент обновления списка
SHA1 411271C628B677E0BD16DCEBF1E4971799F42A38

=============
https://www.virustotal.com/ru/file/b2029a00758c9d757ab41b1110fc962353fa14171f32586f­2c0ac3ac7a964abd/analysis/1365909415/
14.04.2013 07:23:36, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66364/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66364/ Sun, 14 Apr 2013 07:23:36 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
все верно. проверены будут все пользователи.
14.04.2013 00:28:11, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66363/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66363/ Sun, 14 Apr 2013 00:28:11 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
Есть вопрос. У меня на ноутбуке при установке системы и только для этого использовался Администратор, а для всего остального были созданы два пользователя. Использовался только 1. На нем я делал образ для сравнения. А когда загружал Winpe&uvs c флешки я выбрал каталог Windows и запустил под текущим пользователем. Я все верно сделал? Мне показалось что сравнивал он с Администратором
14.04.2013 00:13:19, Роман Джиованни.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66362/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66362/ Sun, 14 Apr 2013 00:13:19 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
Надеюсь, что это то что было нужно [FILE ID=61421].
RAMZES_2013-04-13_22-33-08.7z
14.04.2013 00:01:49, Роман Джиованни.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66361/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66361/ Sun, 14 Apr 2013 00:01:49 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
конечно Windows.
для создания образа из под Winpe надо выбрать с жесткого диска системный каталог.
12.04.2013 13:30:27, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66301/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66301/ Fri, 12 Apr 2013 13:30:27 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
папка windows? или program files?
12.04.2013 13:28:54, Роман Джиованни.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66300/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66300/ Fri, 12 Apr 2013 13:28:54 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
папку с вашей системой надо выбрать
11.04.2013 23:41:17, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66285/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66285/ Thu, 11 Apr 2013 23:41:17 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
извиняюсь, а какой каталог нужно выбрать при запуске Uvs? там перечень дисков, какой нужен?
11.04.2013 21:34:48, Роман Джиованни.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66282/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66282/ Thu, 11 Apr 2013 21:34:48 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
нет, это быстро должно выполниться
11.04.2013 21:18:01, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66281/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66281/ Thu, 11 Apr 2013 21:18:01 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
На синхронизации кэша застрял... это долгая процедура или UltraIso повис?
11.04.2013 21:15:58, Роман Джиованни.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66280/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66280/ Thu, 11 Apr 2013 21:15:58 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
да, вот она. можно не регистрировать. в тестовом режиме можно писать небольшие образы
http://dw.ezbsys.net/uiso9_pe.exe
11.04.2013 21:02:48, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66278/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66278/ Thu, 11 Apr 2013 21:02:48 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
прошу прощения, а можете дать ссылку на Ultraiso? Заранее спасибо за помощь
11.04.2013 21:00:14, Роман Джиованни.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66276/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66276/ Thu, 11 Apr 2013 21:00:14 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
посмотрите, как правильно записать образ на флэшку
http://forum.esetnod32.ru/messages/forum27/topic2102/message18086/#message18086
(UltraIso используйте - проверенное решение)
11.04.2013 20:54:45, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66274/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66274/ Thu, 11 Apr 2013 20:54:45 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
Поставил в Bios загрузку с Usb.. Пишет Disk error.. Образ не нужно распаковывать или еще что либо делать? Так загрузка с флешки не идет
11.04.2013 20:50:47, Роман Джиованни.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66272/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66272/ Thu, 11 Apr 2013 20:50:47 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
и когда запустите uVS уже из под Winpe, там надо будет выбрать функцию - поиск скрытых и измененных объектов по файлу сверки.....

после завершения поиска, создаете образ автозапуска (не выходя из uVS)

и передаете его нам.
-----------
если будет какое то расхождение между автозапуском в активной системе и из под winpe, то это должно быть заметно в последнем образе.
11.04.2013 20:31:53, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66268/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66268/ Thu, 11 Apr 2013 20:31:53 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
да, файл сверки создается из активной системы, сохраните его на диск, он вам затем нужен будет.

при запуске системы с флэшки, надо будет из меню uVS выбрать вначале систему с жесткого диска,
затем уже - выбирать запуск под текущим пользователем
11.04.2013 20:28:49, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66266/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66266/ Thu, 11 Apr 2013 20:28:49 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
Я скачал и записал на флешку образ WinPE&UVS377.
После этого зашел в Uvs, запустил под обычным пользователем, после построения списка, руткиты/создать файл сверки автозапуска(1-2мин).
Все правильно? Дальше нужно перезагрузиться, в BIOS поставить загрузку с флешки, перезагрузиться и дальше все будет автоматически?
11.04.2013 20:22:13, Роман Джиованни.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66265/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66265/ Thu, 11 Apr 2013 20:22:13 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
здесь не нужна оригинальна Windows.

winpe&uVS вы можете скачать отсюда
http://chklst.ru/forum/discussion/61/winpeuvs
запишите образ на флэшку, и далее можно будет грузиться с флэшки, чтобы отработать по методу поиска руткитов.
11.04.2013 19:32:41, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66259/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66259/ Thu, 11 Apr 2013 19:32:41 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
у меня нет оригинальной Windows. Резервная копия где-то в ноуте лежит, но устанавливал не я и где она не знаю
11.04.2013 19:29:22, Роман Джиованни.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66257/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66257/ Thu, 11 Apr 2013 19:29:22 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
далее,
сделайте сверку системы из под winpe (по методу поиска руткитов)
http://forum.esetnod32.ru/forum9/topic2729/
11.04.2013 19:24:11, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66256/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66256/ Thu, 11 Apr 2013 19:24:11 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
вот [FILE ID=61345]
mbam-log-2013-04-11 (18-13-26).txt
11.04.2013 19:21:55, Роман Джиованни.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66254/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66254/ Thu, 11 Apr 2013 19:21:55 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа Вернулся или не ушел((( в форуме Обнаружение вредоносного кода и ложные срабатывания.
судя по первому логу мбам будет чист.

если повторный лог мбам будет чистый, сделайте сверку системы из под winpe (по методу поиска руткитов)
http://forum.esetnod32.ru/forum9/topic2729/
11.04.2013 19:14:16, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9236/message66250/ http://forum.esetnod32.ru/messages/forum6/topic9236/message66250/ Thu, 11 Apr 2013 19:14:16 +0400 Обнаружение вредоносного кода и ложные срабатывания