Показано с 1 по 5 из 5.

Как я боролся с банковским трояном Win32/Corcow.AE (заявка № 164760)

  1. #1
    Junior Member Репутация
    Регистрация
    12.08.2014
    Адрес
    Гусь-Хрустальный
    Сообщений
    2
    Вес репутации
    9

    Как я боролся с банковским трояном Win32/Corcow.AE

    Случилась данная незадача на одном из рабочих ПК на днях, 8 августе 2014г. с ОС WinXP.
    Установленный антивирус ESEТ-5-EndPoint отметил угрозу, как Win32/Corcow.AE в оперативной памяти процесса svсhost (1052) и УДАЛЯЕТ её.
    Через 2-5 мин опять окошко с определением трояна и опять УДАЛЯЕТ(очищен удалением). И так далее.

    Мои пробные решения.
    - запуск в SafeMode утилиты DrWebCureIT с усиленной защитой не привело к результатам. Не увидел он его.
    - запуск детального сканирования установленным ESET в обычном режиме так же неудачно. Не увидел он его.
    - прогнал AVZ. Ничего.Все чисто.
    Я начал расстраиваться, настроение понизилось... Нашел где-то в интернете структуру действия этого зловреда, из картинки понял, дай бог 5-10% как он работает. Я не программист. Не нашел кто бы поделился дельным советом. Узнав,что он пролезает и действует благодаря Java. Тут же её удалил. Получается он сидит где-то и никем не опознается и как только запускает своих лазутчиков в оперпамять, вот тут то они (лазутчики/лазутчик) определяются ESETом и удаляются.

    Решение, которое мне помогло:
    - запустил AVZ. Сервис-Диспетчер процессов.
    Нашел указанный ESETом процесс svсhost (1052) и в закладке "Используемые DLL" увидел внедренную библиотеку "rsmcp.dl" выделенную черным цветом.
    Подозрительно,что расширение не DLL, a DL и еще помечен черным цветом.
    - щелкаем по ней правой кнопкой мышки и жмем "Принудительно выгрузить DLL". Просканировал ESET - опять чисто.
    - ищем где такой файл лежит, например через TotalCommander.
    Нашелся тут C:\Program Files\Common Files\SpeechEngines\Microsoft\Sp2de\
    Для пущей точности открыл онлайн-проверку на вирусы https://www.virustotal.com/. Закачал туда этот файл.
    Итог - ESET/DrWeb/Kaspersky и другие отметили,что файл чистый, а некоторые неизвестные для меня антивири обнаружили вред, но опознали как-то по своему, а не Corcow.
    Продолжаем. Как бы сей файл не оказался нужным, грузимся в SafeMode и, не удаляем его сразу, не подумавши, а изменяем расширение файла, например на .txt. Получаем "rsmcp.txt"
    ГОТОВО.
    Загружаемся как обычно и вуаля, жалоб нет. И если все работает как надо, то сей файл можно удалить потом через SHIFT+DEL, чтоб мимо корзины...
    Если кому моя тактика поможет в борьбе с этой гадостью, значит не зря писал.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) ovv-gus, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Лечение я так понял вам не требуется?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  5. #4
    Junior Member Репутация
    Регистрация
    12.08.2014
    Адрес
    Гусь-Хрустальный
    Сообщений
    2
    Вес репутации
    9

    Лечение пока не потребуется

    Да,пожалуй. От юзера жалоб нет, все работает по прежнему. Вот подожду до следующей недели, если будет всё хорошо, то описанный файлик удалю. Corcow ведь при лечении/удалении его из ОС портит систему. А там не бухгалтерский комп, но всё же, специфических прог немало. При плохом истечении дел, обращусь к Вам, спасибо!

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Тогда я закрою эту тему если лечение потребуется создадите потом новую тему с логами.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  • Уважаемый(ая) ovv-gus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Замучила WIN32\Corcow.W
      От Вячеслав Пименов в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 15.07.2014, 19:07
    2. win32/corcow.F
      От Drey78 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 10.12.2013, 11:54
    3. Ответов: 24
      Последнее сообщение: 22.02.2012, 22:05
    4. Win32/Corcow.A в памяти
      От ndfm в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.02.2012, 17:21
    5. Nod ругается на Win32/Corcow.A в памяти
      От Saviour в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 28.10.2011, 20:55

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01513 seconds with 20 queries