-
Junior Member
- Вес репутации
- 36
Как я боролся с банковским трояном Win32/Corcow.AE
Случилась данная незадача на одном из рабочих ПК на днях, 8 августе 2014г. с ОС WinXP.
Установленный антивирус ESEТ-5-EndPoint отметил угрозу, как Win32/Corcow.AE в оперативной памяти процесса svсhost (1052) и УДАЛЯЕТ её.
Через 2-5 мин опять окошко с определением трояна и опять УДАЛЯЕТ(очищен удалением). И так далее.
Мои пробные решения.
- запуск в SafeMode утилиты DrWebCureIT с усиленной защитой не привело к результатам. Не увидел он его.
- запуск детального сканирования установленным ESET в обычном режиме так же неудачно. Не увидел он его.
- прогнал AVZ. Ничего.Все чисто.
Я начал расстраиваться, настроение понизилось... Нашел где-то в интернете структуру действия этого зловреда, из картинки понял, дай бог 5-10% как он работает. Я не программист. Не нашел кто бы поделился дельным советом. Узнав,что он пролезает и действует благодаря Java. Тут же её удалил. Получается он сидит где-то и никем не опознается и как только запускает своих лазутчиков в оперпамять, вот тут то они (лазутчики/лазутчик) определяются ESETом и удаляются.
Решение, которое мне помогло:
- запустил AVZ. Сервис-Диспетчер процессов.
Нашел указанный ESETом процесс svсhost (1052) и в закладке "Используемые DLL" увидел внедренную библиотеку "rsmcp.dl" выделенную черным цветом.
Подозрительно,что расширение не DLL, a DL и еще помечен черным цветом.
- щелкаем по ней правой кнопкой мышки и жмем "Принудительно выгрузить DLL". Просканировал ESET - опять чисто.
- ищем где такой файл лежит, например через TotalCommander.
Нашелся тут C:\Program Files\Common Files\SpeechEngines\Microsoft\Sp2de\
Для пущей точности открыл онлайн-проверку на вирусы https://www.virustotal.com/. Закачал туда этот файл.
Итог - ESET/DrWeb/Kaspersky и другие отметили,что файл чистый, а некоторые неизвестные для меня антивири обнаружили вред, но опознали как-то по своему, а не Corcow.
Продолжаем. Как бы сей файл не оказался нужным, грузимся в SafeMode и, не удаляем его сразу, не подумавши, а изменяем расширение файла, например на .txt. Получаем "rsmcp.txt"
ГОТОВО.
Загружаемся как обычно и вуаля, жалоб нет. И если все работает как надо, то сей файл можно удалить потом через SHIFT+DEL, чтоб мимо корзины...
Если кому моя тактика поможет в борьбе с этой гадостью, значит не зря писал.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) ovv-gus, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Лечение я так понял вам не требуется?
-
-
Junior Member
- Вес репутации
- 36
Лечение пока не потребуется
Да,пожалуй. От юзера жалоб нет, все работает по прежнему. Вот подожду до следующей недели, если будет всё хорошо, то описанный файлик удалю. Corcow ведь при лечении/удалении его из ОС портит систему. А там не бухгалтерский комп, но всё же, специфических прог немало. При плохом истечении дел, обращусь к Вам, спасибо!
-
Тогда я закрою эту тему если лечение потребуется создадите потом новую тему с логами.
-