Nod страшно ругается на Win32/Corcow.a в оперативной памяти

[Vertogen]

При включении или после обновления баз начинается ругаться на модифицированного траяна и очистка невозможна.
Логи:

[Info_bot]

Уважаемый(ая) Vertogen, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Nikkollo]

Выполните скрипт в AVZ (как выполнить):

Код:

procedure WhatService(AServiceName : string);
var
dllname, servicekey : string;
begin
servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
RegKeyResetSecurity( 'HKLM', servicekey);
RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
AddToLog('ServiceDll: '+dllname);
QuarantineFile(dllname,'');
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
WhatService('tdzug');
 QuarantineFile('c:\DisableS3S4.cmd','');
BC_ImportAll;
BC_Activate;
SaveLog(GetAVZDirectory+'tdzug.log');
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Файл tdzug.log из папки AVZ приложите в теме.

[Vertogen]

Файл выслал.
Лог:

[Nikkollo]

Отключите Восстановление системы (Приложение 1 правил).

Выполните скрипт в AVZ (как выполнить):

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then
     Result := Result or 8;
   end;
  end;
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 AddToLog(inttostr(BC_ServiceKill('tdzug')) );
 SaveLog(GetAVZDirectory+'avz_log.txt');
ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела Диагностика правил) и приложите в теме.

Сделайте лог MBAM:
http://virusinfo.info/showthread.php?t=53070
и приложите.

[Vertogen]

Отключить восстановление системы не могу. Конфигурация отключена групповой политикой и добраться до редактора не могу. Через "выполнить" пробовал, не прошло. Я в этом дуб дубом. Что посоветуете?

[Nikkollo]

Скрипт в AVZ можете выполнить?

[Vertogen]

Скрипт выполнил, но без отключения восстановления системы.
Логи:

[Nikkollo]

Сделайте лог gmer (не забыв поставить галочку на диск C и нажав Scan):
http://virusinfo.info/showthread.php?t=40118
и приложите его в теме.

[Vertogen]

Сделано.
Лог:

[Nikkollo]

Сохраните в блокноте текст ниже как cleanup.bat в ту же папку, где находится zyqgdhco.exe (gmer)

Код:

zyqgdhco.exe -del file "C:\Windows\system32\pdlmur.dll"
zyqgdhco.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tdzug"
zyqgdhco.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tdzug"
zyqgdhco.exe -reboot

И запустите cleanup.bat.
Компьютер перезагрузится!

Сделайте новый лог gmer.

[Vertogen]

Готово.
Лог:

[thyrex]

1. Откройте Блокнот и скопируйте в него текст скрипта

Код:

zyqgdhco.exe -del service tdzug
zyqgdhco.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tdzug"
zyqgdhco.exe -reboot

2. Нажмите Файл - Сохранить как
3. Выберите папку, в которую сохранили zyqgdhco.exe (gmer)
4. Укажите Тип файла - [/b]Все файлы (*.*)[/b]
5. Введите имя файла cleanup.bat и нажмите кнопку Сохранить
6. Запустите cleanup.bat

ВНИМАНИЕ: Компьютер перезагрузится!!!

Сделайте новый лог gmer

[Vertogen]

Сделано.
Лог:

[thyrex]

Что с проблемой?

[Vertogen]

Nod продолжает ругаться. Gmer уже ничего не находит. Еще стоит MBAM и блокирует соединение с одним и тем же вредоносным сайтом.

[thyrex]

Сделайте лог ComboFix

[Vertogen]

Готово.
Лог:

[thyrex]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск С.

Код:

KillAll::

File::

Driver::
tdzug

NetSvc::
tdzug

Folder::

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Vertogen]

Готово.
Лог: