Вирус win32/Corkow F. в оперативной памяти explorer.exe [not-a-virus:NetTool.Win32.Sniffer.dz ]

**D@V** · 01.06.2013, 02:03

Помогите удалить вирус из оперативной памяти. Вирус win32/Corkow F. обнаруживается ESET NOD 32 (версия 4), но пишет - Оперативная память = explorer.exe(520) - модифицированный Win32/Corkow.F троянская программа - очистка невозможна.
Система Windows Vista Home Premium (32). Пробовал сканировать Kaspersky Removal Tool 10 и DrWeb CureIt - вирус не обнаруживается.

Файл логов не грузятся на сайт, так что кидаю их черех Яндекс.Диск:

virusinfo_syscheck.zip - http://yadi.sk/d/JFzKvgQO5NXKN
virusinfo_syscure.zip - http://yadi.sk/d/ffLFaevI5NXIT
hijackthis.log - http://yadi.sk/d/QTiL2SEb5NXId

Буду очень благодарен за помощь!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 01.06.2013, 02:04

Уважаемый(ая) D@V, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Никита Соловьев** · 01.06.2013, 12:10

> Выполните скрипт в AVZ:

Код:

BEGIN
 ClearQuarantine;
IF NOT IsWOW64 THEN
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(true);
  end;
 QuarantineFile('C:\Users\user\appdata\roaming\flash\cgminer.exe','');
 QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Geooou.exe','');
 DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\Geooou.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Geooou');
 DeleteFile('C:\Users\user\appdata\roaming\flash\cgminer.exe');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
END.

После выполнения скрипта компьютер будет перезагружен.

> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.

> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.

Сделайте отчет программы RSIT.

_________________
> как выполнить скрипт в AVZ

**D@V** · 02.06.2013, 14:58

Скрипт выполнил, но нод32 все равно обнаруживает вирус !

Карантин отправил.
Вот все логи:
hijackthis.log
virusinfo_syscure.zip
virusinfo_syscheck.zip

**regist** · 02.06.2013, 15:23

ProxyServer = 1.130.13.47:80 - сами прописывали ?

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFile('C:\Users\user\AppData\Roaming\Flash\update.vbs','');
 QuarantineFile('C:\Users\user\AppData\Roaming\ScreenSaverPro.scr','');
 QuarantineFileF('C:\Users\user\AppData\Roaming\Flash','*', true,'',0 ,0);
 DeleteFile('C:\Users\user\AppData\Roaming\Flash\update.vbs');
 DeleteFile('C:\Users\user\AppData\Roaming\ScreenSaverPro.scr');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
 DeleteFileMask('C:\Users\user\AppData\Roaming\Flash', '*', true);
 DeleteDirectory('C:\Users\user\AppData\Roaming\Flash');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте полный образ автозапуска uVS

- Сделайте лог полного сканирования МВАМ.

**D@V** · 03.06.2013, 02:29

Все процедуры провел. Запрашиваемые Вами файлы пересылаю:
USER-ПК_2013-06-02_16-39-27.TXT - http://yadi.sk/d/IvmQXSjB5R1py
MBAM-log-2013-06-03 (01-07-41).txt - http://yadi.sk/d/dhOm6KGp5R1qw

**D@V** · 03.06.2013, 09:44

Все процедуры провел. Запрашиваемые Вами файлы пересылаю:
USER-ПК_2013-06-02_16-39-27.TXT - http://yadi.sk/d/IvmQXSjB5R1py
MBAM-log-2013-06-03 (01-07-41).txt - http://yadi.sk/d/dhOm6KGp5R1qw

**regist** · 03.06.2013, 20:01

Выполните скрипт в uVS

Код:

;uVS v3.80.1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0

delref HTTP://WEBALTA.RU
delall F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\DLL32.EXE
restart

Удалите в MBAM

Код:

Объекты реестра обнаружены:  2
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Плохо: (http://webalta.ru) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://webalta.ru) Хорошо: (http://www.google.com/) -> Действие не было предпринято.

+ если вам не знакомо

Код:

Обнаруженные ключи в реестре:  1
HKCU\SOFTWARE\HiSoft\CrackDownloader (CrackTool.Agent) -> Действие не было предпринято.

тоже удалите.

что с проблемой ?

**D@V** · 05.06.2013, 18:51

Спасибо большое за помощь! Все работает!

**regist** · 05.06.2013, 18:53

Выполните скрипт в uVS и пришлите карантин.

Код:

;uVS v3.80.1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0

zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT CORPORATION\XWTLV1.IFI
; C:\USERS\USER\APPDATA\ROAMING\MICROSOFT CORPORATION\XWTLV1.IFI
bl 0D7C4261A1BA042DE6054C6A92CD3208 459776
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT CORPORATION\XWTLV1.IFI
restart

Деинсталируйте MBAM, смените пароли.

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

сделайте новый образ автозапуска.

**D@V** · 06.06.2013, 17:28

Все зараженные файлы были вылечины посредством переустановки Windows. Прошу прощения, что начал пудрить мозги хелперам, просто появилась возможность перебить виндовс, и я ею воспользовался. Еще раз спасибо, что оперативно отозвались.

**regist** · 06.06.2013, 20:08

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Советы и рекомендации после лечения компьютера

**CyberHelper** · 06.06.2013, 20:18

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 39
В ходе лечения обнаружены вредоносные программы:
1. c:\\users\\user\\appdata\\roaming\\flash\\api.clas s - not-a-virus:NetTool.Win32.Sniffer.dz
2. c:\\users\\user\\appdata\\roaming\\flash\\cgminer. exe - not-a-virus:RiskTool.Win32.BitCoinMiner.cqy

Вирус win32/Corkow F. в оперативной памяти explorer.exe [not-a-virus:NetTool.Win32.Sniffer.dz ] (заявка № 139693)

Опции темы

Вирус win32/Corkow F. в оперативной памяти explorer.exe [not-a-virus:NetTool.Win32.Sniffer.dz ]

Это понравилось:

Итог лечения

Похожие темы

Вирус Win32/Spy.Shiz.NCE в оперативной памяти в explorer.exe

Nod 32 выдал Win32/Corkow.A в оперативной памяти

Win32/Corkow в оперативной памяти

Троян Win32/Corkow.A в оперативной памяти

Вирус Win32/Corkow.A в оперативной памяти.

Метки для этой темы

Ваши права в разделе