-
Junior Member
- Вес репутации
- 42
rundll32.exe(4292) - модифицированный Win32/Corkow.F
Добрый вечер! NOD32 стал ругаться "Оперативная память = rundll32.exe(4292) - модифицированный Win32/Corkow.F троянская программа - очистка невозможна". Rundll32.exe просто убивал в диспетчере, на работу системы вроде не влияло. Но с каждой перезагрузкой, естественно, все заново. Винда 64, поэтому, согласно правилам, выкладываю 2 лога. Помогите разобраться, в интернете для этого случая инфы нет(
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Dismay1983, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
-
-
Junior Member
- Вес репутации
- 42
-
-
-
Junior Member
- Вес репутации
- 42
Нашел один вирус, жду комменты)
- - - Добавлено - - -
Я так понимаю, это может быть модифицированный trojan.delf, который скопировал себя не explorer32, а в rundll32.
Такое возможно?
Если да, то я просто убиваю процесс rundll32, удаляю тело вируса и перезагружаюсь?
-
> Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
if not IsWOW64 then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\ProgramData\lsass.exe','MBAM detect');
DeleteFile('C:\ProgramData\lsass.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер будет перезагружен.
> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.
Этот файл находится в папке AVZ.
Если загрузчик сообщает, что данный файл уже был загружен, скорее всего, карантин пуст. Пропустите этот пункт и следуйте далее.
> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.
Помощь: как выполнить скрипт в AVZ
-
-
Junior Member
- Вес репутации
- 42
по адресу \avz4\Quarantine не было файлов!
+ новые логи
p.s. nod продолжает ругаться
-
> Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
if not IsWOW64 then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Windows\xored.sys','');
DeleteService('newdriver');
DeleteFile('C:\Windows\xored.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер будет перезагружен.
> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.
> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.
-
-
Junior Member
- Вес репутации
- 42
nod продолжает ругаться
карантин пуст
-
Junior Member
- Вес репутации
- 42
-
-
-
Junior Member
- Вес репутации
- 42
Проблема решена!!! Гада обнаружил и убил Vwyg, за что ему огромное спасибо!!!
Лечение в uVS:
код:
Код:
;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
; C:\USERS\IGOR\APPDATA\ROAMING\MICROSOFT CORPORATION\SEREUXLE.INE
addsgn 98ED2F58596A267161D4C4B18C67EFFADA0F3C8299056B5C893CB1985C2905682FE813BC3D3F9C11E98C847B5656497E6D9FE87255DAB02C2D77A42FC7062219 8 Trojan-Dropper.Win32.Metel.i[Kaspersky]
chklst
delvir
deltmp
delnfr
restart
-
Dismay1983, сделайте новый образ автозапуска.
смените все пароли !
-
-
Junior Member
- Вес репутации
- 42
-
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
Советы и рекомендации после лечения компьютера
-