rundll32.exe(4292) - модифицированный Win32/Corkow.F

[Dismay1983]

Добрый вечер! NOD32 стал ругаться "Оперативная память = rundll32.exe(4292) - модифицированный Win32/Corkow.F троянская программа - очистка невозможна". Rundll32.exe просто убивал в диспетчере, на работу системы вроде не влияло. Но с каждой перезагрузкой, естественно, все заново. Винда 64, поэтому, согласно правилам, выкладываю 2 лога. Помогите разобраться, в интернете для этого случая инфы нет(

[Info_bot]

Уважаемый(ая) Dismay1983, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Никита Соловьев]

http://virusinfo.info/showthread.php?t=115256 подготовьте такой отчет.

[Dismay1983]

логи RSIT

[Никита Соловьев]

Тут тоже ничего.

Такой отчет ещё http://virusinfo.info/showthread.php?t=53070

[Dismay1983]

Нашел один вирус, жду комменты)

- - - Добавлено - - -

Я так понимаю, это может быть модифицированный trojan.delf, который скопировал себя не explorer32, а в rundll32.
Такое возможно?
Если да, то я просто убиваю процесс rundll32, удаляю тело вируса и перезагружаюсь?

[Никита Соловьев]

> Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
if not IsWOW64 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(true);
  end;
 QuarantineFile('C:\ProgramData\lsass.exe','MBAM detect');
 DeleteFile('C:\ProgramData\lsass.exe');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер будет перезагружен.

> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.
Этот файл находится в папке AVZ.
Если загрузчик сообщает, что данный файл уже был загружен, скорее всего, карантин пуст. Пропустите этот пункт и следуйте далее.

> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.

Помощь: как выполнить скрипт в AVZ

[Dismay1983]

по адресу \avz4\Quarantine не было файлов!
+ новые логи
p.s. nod продолжает ругаться

[Никита Соловьев]

> Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
if not IsWOW64 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(true);
  end;
 QuarantineFile('C:\Windows\xored.sys','');
 DeleteService('newdriver');
 DeleteFile('C:\Windows\xored.sys');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер будет перезагружен.

> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.

> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.

[Dismay1983]

nod продолжает ругаться

карантин пуст

[Dismay1983]

HELP!!!))))

[regist]

Сделайте полный образ автозапуска uVS

[Dismay1983]

Проблема решена!!! Гада обнаружил и убил Vwyg, за что ему огромное спасибо!!!
Лечение в uVS:
код:

Код:

;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
; C:\USERS\IGOR\APPDATA\ROAMING\MICROSOFT CORPORATION\SEREUXLE.INE
addsgn 98ED2F58596A267161D4C4B18C67EFFADA0F3C8299056B5C893CB1985C2905682FE813BC3D3F9C11E98C847B5656497E6D9FE87255DAB02C2D77A42FC7062219 8 Trojan-Dropper.Win32.Metel.i[Kaspersky]

chklst
delvir
deltmp
delnfr
restart

[regist]

Dismay1983, сделайте новый образ автозапуска.

смените все пароли !

[Dismay1983]

свежий образ

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера