Показано с 1 по 18 из 18.

Пож. помогите избавиться от Win32 / Corkow.f (заявка № 162826)

  1. #1
    Junior Member Репутация
    Регистрация
    12.08.2009
    Сообщений
    81
    Вес репутации
    54

    Пож. помогите избавиться от Win32 / Corkow.f


  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) olegyam, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Здравствуйте!

    - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true); 
     QuarantineFile('C:\WINDOWS\system32\linkdel.cmd','');
     QuarantineFile('C:\WINDOWS\TEMP\UIUCU.EXE','');
     QuarantineFile('C:\WINDOWS\system32\desktop.reg','');
     DeleteFile('C:\WINDOWS\TEMP\UIUCU.EXE','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','UIUCU');
    BC_ImportAll;
    ExecuteSysClean;
     ExecuteWizard('SCU',2,2,true);
     ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); SetAVZPMStatus(false);
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы

    Самостоятельно настройки AVZ не меняйте!

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)


    - Сделайте лог полного сканирования МВАМ.

  5. #4
    Junior Member Репутация
    Регистрация
    12.08.2009
    Сообщений
    81
    Вес репутации
    54
    MD5 карантина: DA8E416CEE1541597B5D229BAF4A54EE
    Размер файла: 54526082 байт
    Ссылка на результаты анализа:Результаты анализа карантина
    Тема для обсуждения результатов анализа: Результаты анализа карантина
    Результаты анализа будут доступны через 20-30 минут. Если Вы указали свой email при загрузке, то по указанному адресу при завершении анализа будет выслано информационное сообщение.

    - - - Добавлено - - -

    Карантин прислал

    MD5 карантина: A9292BDD8AF0E313DAEEE680F1F3D2B1

    - - - Добавлено - - -

    вот логи
    Вложение 483691
    Вложение 483692

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от regist Посмотреть сообщение
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы
    этот карантин пришлите по ссылке вверху темы.

    и Remote Office Manager сами ставили?

  7. #6
    Junior Member Репутация
    Регистрация
    12.08.2009
    Сообщений
    81
    Вес репутации
    54
    карантин пустой
    Remote Office Manager не ставил
    Malware сканирует но при попытке записать лог вываливается с ошибкой
    Последний раз редактировалось olegyam; 09.07.2014 в 23:41.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    такой файл есть ?
    Код:
    C:\WINDOWS\system32\desktop.reg
    +
    Цитата Сообщение от regist Посмотреть сообщение
    - Сделайте лог полного сканирования МВАМ.

  9. #8
    Junior Member Репутация
    Регистрация
    12.08.2009
    Сообщений
    81
    Вес репутации
    54
    ЕСТЬ
    Файл сохранён как 140709_194452_DESKTOP_53bd9bb45206f.zip

    Mbam сканирует но при попытке записать лог вываливается с ошибкой

  10. #9

  11. #10
    Junior Member Репутация
    Регистрация
    12.08.2009
    Сообщений
    81
    Вес репутации
    54

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Код:
    C:\Documents and Settings\Tatiana\Мои документы\wclient01_copy_130810\genmenu.exe
    C:\Documents and Settings\Дергачева\Application Data\QipGuard\QipGuard.exe
    Пришлите в карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    + проверьте на http://www.virustotal.com/ ссылки на результат проверки напишите здесь.

    Удалите в MBAM только

    Код:
    HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
    HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
    HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters|ServiceDll (Hijack.LanmanServer) -> Плохо: (%CommonProgramFiles%\SpeechEngines\Microsoft\SPys\midpatUI.gnt) Хорошо: (%SystemRoot%\System32\srvsvc.dll) -> Действие не было предпринято.
    Чтобы полностью удалить webalta, запустите AVZ - сервис - Поиск данных в реестре. В строку "образец" впишите webalta, нажмите "начать поиск", сохраните протокол и выложите в ответ. НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!.

  13. #12
    Junior Member Репутация
    Регистрация
    12.08.2009
    Сообщений
    81
    Вес репутации
    54
    Файл сохранён как 140709_214145_!!_53bdb71986d8b.zip
    ----------------------
    This file was last analysed by VirusTotal on 2012-09-23 18:56:35 UTC, it was first analysed by VirusTotal on 2010-07-26 14:53:38 UTC.
    Показатель выявления: 1/31
    Антивирус Результат Дата обновления
    Malwarebytes Trojan.Inject 20140709
    AVG 20140709
    Ad-Aware 20140709
    AegisLab 20140709
    Agnitum 20140709
    AhnLab-V3 20140709
    AntiVir 20140709
    Antiy-AVL 20140709
    Avast 20140709
    Baidu-International 20140709
    BitDefender 20140709
    Bkav 20140709
    ByteHero 20140709
    CAT-QuickHeal 20140709
    CMC 20140707
    ClamAV 20140709
    Commtouch 20140709
    Comodo 20140709
    DrWeb 20140709
    ESET-NOD32 20140709
    Emsisoft 20140709
    F-Prot 20140709
    F-Secure 20140709
    Fortinet 20140709
    GData 20140709
    Ikarus 20140709
    Jiangmin 20140709
    K7AntiVirus 20140709
    K7GW 20140709
    Kaspersky 20140709
    Kingsoft 20140709
    McAfee 20140709
    McAfee-GW-Edition 20140709
    MicroWorld-eScan 20140709
    Microsoft 20140709
    NANO-Antivirus 20140709
    Norman 20140709
    Panda 20140709
    Qihoo-360 20140709
    Rising 20140709
    SUPERAntiSpyware 20140709
    Sophos 20140709
    Symantec 20140709
    Tencent 20140709
    TheHacker 20140708
    TotalDefense 20140709
    TrendMicro 20140709
    TrendMicro-HouseCall 20140709
    VBA32 20140709
    VIPRE 20140709
    ViRobot 20140709
    Zillya 20140709
    Zoner 20140708
    nProtect 20140709
    --------------------------------
    SHA256: 76b11314e9f95ad2ec78541684d5c89d6fd11fa5dc2ce968e1 03c22cd242ae45
    Имя файла: QipGuard.exe
    Показатель выявления: 0 / 54

    - - - Добавлено - - -
    Последний раз редактировалось olegyam; 10.07.2014 в 01:54.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    надо было только ссылку, а не список результатов.
    ---------

    жду
    Цитата Сообщение от regist Посмотреть сообщение
    Чтобы полностью удалить webalta, запустите AVZ - сервис - Поиск данных в реестре. В строку "образец" впишите webalta, нажмите "начать поиск", сохраните протокол и выложите в ответ. НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
    + свежий лог MBAM сделайте

  15. #14
    Junior Member Репутация
    Регистрация
    12.08.2009
    Сообщений
    81
    Вес репутации
    54
    Запущен поиск ключей, содержащих образец "webalta"
    -- Поиск в HKEY_LOCAL_MACHINE --
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\V EN_1106&DEV_3106&SUBSYS_14051186&REV_8B\4&cf81c54& 0&00F0\webalta\ =
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\V EN_8086&DEV_10DE&SUBSYS_3048103C&REV_02\3&b1bfb68& 0&C8\webalta\ =
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\V EN_8086&DEV_2E12&SUBSYS_3048103C&REV_03\3&b1bfb68& 0&10\webalta\ =
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\V EN_8086&DEV_2E13&SUBSYS_3048103C&REV_03\3&b1bfb68& 0&11\webalta\ =
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\V EN_8086&DEV_2E32&SUBSYS_D6128086&REV_03\3&11583659 &0&10\webalta\ =
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\V EN_8086&DEV_3A67&SUBSYS_3048103C&REV_02\3&b1bfb68& 0&D0\webalta\ =
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\V EN_8086&DEV_3A69&SUBSYS_3048103C&REV_02\3&b1bfb68& 0&D2\webalta\ =
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\V EN_8086&DEV_3A6A&SUBSYS_3048103C&REV_02\3&b1bfb68& 0&EF\webalta\ =
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\V EN_8086&DEV_3A6C&SUBSYS_3048103C&REV_02\3&b1bfb68& 0&D7\webalta\ =
    -- Поиск в HKEY_CURRENT_USER --
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\App Management\ARPCache\Webalta Toolbar\ =
    -- Поиск в HKEY_CLASSES_ROOT --
    -- Поиск завершен --
    Просмотрено ключей: 221535

    - - - Добавлено - - -

    Mbam Log
    Вложение 483723

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    MBAM деинсталируйте.

    еще раз запустите в AVZ поиск webalta, кликните ПКМ по списку, нажмите "выбрать все". Нажмите "Создать reg файл с отменными ключами". Полученный файл заархивируйте и прикрепите к своему сообщению После этого ПКМ по спику с ключами и кнопку удалить.

    Что с проблемой?

  17. #16
    Junior Member Репутация
    Регистрация
    12.08.2009
    Сообщений
    81
    Вес репутации
    54
    Вложение 483904
    Спасибо.
    Дело в том что Нод обычно с утра ругался
    что в оперативной памяти ...
    сегодня - это не произошло.

    Похоже Вы помогли.
    Спасибо Вам огромное.

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Советы и рекомендации после лечения компьютера

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 3
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) olegyam, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 20
      Последнее сообщение: 04.02.2014, 15:16
    2. Ответов: 5
      Последнее сообщение: 19.07.2013, 20:28
    3. Ответов: 27
      Последнее сообщение: 26.10.2012, 21:19
    4. Ответов: 11
      Последнее сообщение: 12.04.2012, 14:47
    5. Ответов: 7
      Последнее сообщение: 15.01.2010, 07:33

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01041 seconds with 19 queries