Показано с 1 по 18 из 18.

Вирус под именем Korgo (заявка № 13857)

  1. #1
    Junior Member Репутация
    Регистрация
    04.11.2007
    Сообщений
    6
    Вес репутации
    60

    Exclamation Вирус под именем Korgo

    Сразу скажу что вирус определяется NOD32 и Dr.Web, но удалиться не может.

    Что происходит

    Блокируется Windows Installer, дословно окошко с таким текстом:

    Не удается получить доступ к службе Windows Installer.
    Либо Windows работает в защищенном режиме, либо
    служба Windows Installer установлена неправильно.


    Последствия: невозможно удалять и устанавливать программы и приложения
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     ExecuteAVUpdate ;
     QuarantineFile('C:\WINDOWS\System32\kernels32.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\PfModNT.sys','');
     QuarantineFile('\SystemRoot\System32\Drivers\StarOpen.SYS','');
     DeleteFile('C:\WINDOWS\System32\kernels32.exe');  
     BC_ImportDeletedList;
     BC_ImportQuarantineList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O15 - Trusted Zone: *.ssaabb.com
    O16 - DPF: {33331111-1111-1111-1111-615111193427} -
    Загрузите карантин по этой ссылке. Повторите логи.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    1. Перед выполнением вышесказанного отключите восстановление системы!
    2. Перед созданием новых логов обновите базы AVZ.
    I am not young enough to know everything...

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    2. Перед созданием новых логов обновите базы AVZ.
    Скрипт выполнит.

  6. #5
    Junior Member Репутация
    Регистрация
    04.11.2007
    Сообщений
    6
    Вес репутации
    60
    Простите за дремучесть: не знаю как отключить восстановление системы

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    602
    Цитата Сообщение от denzubkov Посмотреть сообщение
    Простите за дремучесть: не знаю как отключить восстановление системы
    Правила. Приложение 1. Как отключить восстановление системы.
    Опыт — это слово, которым люди называют свои ошибки.

  8. #7

  9. #8
    Junior Member Репутация
    Регистрация
    04.11.2007
    Сообщений
    6
    Вес репутации
    60
    Все не надо - нашел сам))

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Мой компьютер - свойства - вкладка "Восстановление"

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    602
    Цитата Сообщение от denzubkov Посмотреть сообщение
    Все не надо - нашел сам))
    Сам?
    Опыт — это слово, которым люди называют свои ошибки.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3731
    Вам понадобиться скорее всего переустановить службу Windows Installer. Соответствующий пакет можно скачать отсюда
    Left home for a few days and look what happens...

  13. #12
    Junior Member Репутация
    Регистрация
    04.11.2007
    Сообщений
    6
    Вес репутации
    60
    Вопрос, а мне нужно заново выполнять скрипт

    "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info"

    Добавлено через 2 минуты

    ALEX(XX)

    Гениально и просто?)) Сейчас попробую...

    Добавлено через 3 минуты

    ALEX(XX)


    А нужно перед установкой удалять старый?

    Боязно как-то, вдруг новый не установиться?
    Последний раз редактировалось denzubkov; 04.11.2007 в 17:59. Причина: Добавлено

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3731
    Гениально и просто?)) Сейчас попробую...
    На двух машинах уже так делал, помогло
    Left home for a few days and look what happens...

  15. #14
    Junior Member Репутация
    Регистрация
    04.11.2007
    Сообщений
    6
    Вес репутации
    60
    ALEX(XX)


    А нужно перед установкой удалять старый?

    Боязно как-то, вдруг новый не установиться?

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Вы TeoSoft.com удалили?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3731
    Цитата Сообщение от denzubkov Посмотреть сообщение
    ALEX(XX)


    А нужно перед установкой удалять старый?

    Боязно как-то, вдруг новый не установиться?
    Должен установиться. Удалять... Не удалял, просто ставил да и всё. Единственное что, система у Вас должна быть полностью вылечена от заразы.
    Left home for a few days and look what happens...

  18. #17
    Junior Member Репутация
    Регистрация
    04.11.2007
    Сообщений
    6
    Вес репутации
    60
    Спасибо всем, кто проявил внимание к моей теме.

    Кому интересно, причина была просто идиотской.

    Как оказалось у меня одновременно работали две

    версии Windows Installer 3.0 и 3.1

    Судя по всему они конфликтовали.

    Удалил 3.0 и ву-а-ля))))))))

    А вирусы спокойно обитали в system 32))))))))

    Добавлено через 3 минуты

    Цитата Сообщение от Maxim Посмотреть сообщение
    Вы TeoSoft.com удалили?

    Теперь удалил)) Блин как я рад, что все работает)))))))
    Последний раз редактировалось denzubkov; 04.11.2007 в 18:15. Причина: Добавлено

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Сделайте ещё раз логи и карантин отправьте.

  • Уважаемый(ая) denzubkov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрение на вирус с именем zaber
      От justsat в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 14.03.2012, 00:02
    2. файл с подозрительным именем CH и перехватчики
      От Диттер в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.03.2010, 12:38
    3. Вирус - файл с именем "х"
      От darklight в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 23.05.2009, 21:21
    4. Кто скрывается под именем cpadval.dll?
      От Вадя в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 04:06
    5. Замучила зараза под именем ftp34.dll
      От DenisDen в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 28.07.2008, 17:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00147 seconds with 20 queries