Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Win32/Corkow AE в оперативной памяти. (заявка № 165513)

  1. #1
    Junior Member Репутация
    Регистрация
    25.08.2014
    Сообщений
    12
    Вес репутации
    9

    Thumbs up Win32/Corkow AE в оперативной памяти.

    Здравствуйте!
    Нод 32,четыре или пять раз в день выдаёт сообщение о поимке этого вируса,удаляет его,но он опять появляется на месте.К тому-же Нод 32 грузится через раз,выдаёт что,произошла ошибка при обмене данными с ядром.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) лопух паша, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
     ExecuteAVUpdate;
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     QuarantineFile('C:\Documents and Settings\Паша\Application Data\DAOlv\ncomo.eb','');
     DeleteFile('C:\Documents and Settings\Паша\Application Data\DAOlv\ncomo.eb','32');
     DeleteFile('C:\WINDOWS\Tasks\4944f27f-5e5f-46b7-a359-123c3cad58bc-1.job','32');
     DeleteFile('C:\WINDOWS\Tasks\4944f27f-5e5f-46b7-a359-123c3cad58bc-11.job','32');
     DeleteFile('C:\WINDOWS\Tasks\4944f27f-5e5f-46b7-a359-123c3cad58bc-2.job','32');
     DeleteFile('C:\WINDOWS\Tasks\4944f27f-5e5f-46b7-a359-123c3cad58bc-3.job','32');
     DeleteFile('C:\WINDOWS\Tasks\4944f27f-5e5f-46b7-a359-123c3cad58bc-4.job','32');
     DeleteFile('C:\WINDOWS\Tasks\4944f27f-5e5f-46b7-a359-123c3cad58bc-5.job','32');
     DeleteFile('C:\WINDOWS\Tasks\4944f27f-5e5f-46b7-a359-123c3cad58bc-6.job','32');
     DeleteFile('C:\WINDOWS\Tasks\4944f27f-5e5f-46b7-a359-123c3cad58bc-7.job','32');
     DeleteFile('C:\WINDOWS\Tasks\d6c1cc52-f541-4061-90df-fd037e70d1a6.job','32');
     DeleteFile('C:\WINDOWS\Tasks\e07495de-7327-4e55-ad27-7da0c5323996.job','32');
     DeleteFile('C:\WINDOWS\Tasks\e193d96a-805a-4a11-98d3-3ba93c8b8465.job','32');
     DeleteFile('C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
     DeleteFile('C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
     DeleteFileMask('C:\Documents and Settings\Паша\Application Data\DAOlv', '*', true, ' ');
     DeleteDirectory('C:\Documents and Settings\Паша\Application Data\DAOlv');  
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 2, true);
    BC_Activate;
    RegKeyParamWrite('HKLM', 'Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad', 'SysTray', 'REG_SZ', '{35CEC8A3-2BE6-11D2-8773-92E220524153}');                
    RebootWindows(false);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1408905499&from=amt&uid=MaxtorX6L120M0_L3DEETCH
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1408905499&from=amt&uid=MaxtorX6L120M0_L3DEETCH
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1408905499&from=amt&uid=MaxtorX6L120M0_L3DEETCH
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1408905499&from=amt&uid=MaxtorX6L120M0_L3DEETCH&q={searchTerms}
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1408905499&from=amt&uid=MaxtorX6L120M0_L3DEETCH&q={searchTerms}
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1408905499&from=amt&uid=MaxtorX6L120M0_L3DEETCH
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.istartsurf.com/web/?type=ds&ts=1408905499&from=amt&uid=MaxtorX6L120M0_L3DEETCH&q={searchTerms}
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.istartsurf.com/web/?type=ds&ts=1408905499&from=amt&uid=MaxtorX6L120M0_L3DEETCH&q={searchTerms}
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
    O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    1. Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите FixerBro
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. В главном окне программы нажмите на кнопку "Проверить"
    5. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
    6. По окончанию сканирования нажмите на кнопку "Отчет".
    7. Сохраните лог утилиты
    8. Прикрепите сохраненный отчет в вашей теме.


    - - - - -Добавлено - - - - -

    +
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.


    Подробнее читайте в этом руководстве.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  5. #4
    Junior Member Репутация
    Регистрация
    25.08.2014
    Сообщений
    12
    Вес репутации
    9
    Кажется всё сделал.
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
    • По окончанию сканирования снимите галочки со следующих строк:
      Код:
      Папка Найдено : C:\Documents and Settings\Паша\Local Settings\Application Data\Mail.Ru
      Папка Найдено : C:\Program Files\Mail.Ru
    • Нажмите кнопку "Clean" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению

    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  7. #6
    Junior Member Репутация
    Регистрация
    25.08.2014
    Сообщений
    12
    Вес репутации
    9
    Сделал.
    Вложения Вложения

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Что с проблемой?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  9. #8
    Junior Member Репутация
    Регистрация
    25.08.2014
    Сообщений
    12
    Вес репутации
    9
    Всё в порядке,вирус умер.
    Спасибо!

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Смените все пароли особенно к банковским платежным системам.

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
    begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
    else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

    Советы и рекомендации после лечения компьютера
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  11. #10
    Junior Member Репутация
    Регистрация
    25.08.2014
    Сообщений
    12
    Вес репутации
    9
    Удалось сегодня загрузить комп с четвёртого раза.Антивирусник не грузился,сетевой экран тоже,выскакивало сообщение "Windows/sistem32/ещё какае-то папка,не помню,у вас нет прав отказано в доступе"
    Не открывался Диспечер задач,короче не одна программа не открывалась.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    Проверьте, что со значками в трее, все на месте?

    Скачайте утилиту MiniToolBox и сохраните на рабочем столе.

    Запустите при подключённом интернете, отметьте следующие пункты:

    • Список настроек IP
    • Список настроек Winsock
    • Список последних 10 записей журнала событий
    • Список установленных программ
    • Только проблемных
    • Список юзеров, разделов и размера памяти
    • Список дампа памяти
    • список точек восстановления


    и нажмите Старт.

    После завершения сбора информации откроется отчет Result.txt, прикрепите его к своему сообщению. Если вы закрыли отчет утилиты, он будет находиться в той же папке, откуда была запущена утилита.
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    25.08.2014
    Сообщений
    12
    Вес репутации
    9
    Значки на месте,даже появился "оповещение системы безопасности ",раньше его там не было,и пропала стрелочка которая скрывает неактивные значки в трее.
    Вложения Вложения

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Добавьте лог uVS.

    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  15. #14
    Junior Member Репутация
    Регистрация
    25.08.2014
    Сообщений
    12
    Вес репутации
    9
    лог
    Вложения Вложения

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Выполните скрипт в uVS:

    Код:
    ;uVS v3.83 BETA 16 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    OFFSGNSAVE
    breg
    
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПАША\APPLICATION DATA\DAOLV\NCOMO.EB
    exec C:\Program Files\HD-V1.9\Uninstall.exe /fcp=1
    exec "C:\Program Files\Spybot - Search & Destroy 2\unins000.exe"
    deltmp
    restart
    На запросы удаления программ соглашайтесь. Компьютер перезагрузится. Сделайте новый лог uVS.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  17. mike 1 получил(а) благодарность за это сообщение от


  18. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    Деинсталлируйте:

    HD-V1.9
    Surfing Protection
    Hamster Lite Archiver - есть множество бесплатных архиваторов, не висящих постоянно в памяти, тот же 7-Zip, уже установленный в системе.

    С антивирусами явный перебор:

    McAfee Security Scan Plus
    Spybot - Search & Destroy - бесполезная программа.
    ESET NOD32 Antivirus
    Outpost Firewall Pro 9.0 - не только файрвол, есть функции проактивной защиты, оттого бывают конфликты с другими антивирусами. Рекомендую удалить.
    WBR,
    Vadim

  19. Vvvyg получил(а) 3 благодарностей за это сообщение от


  20. #17
    Junior Member Репутация
    Регистрация
    25.08.2014
    Сообщений
    12
    Вес репутации
    9
    Повторный лог.
    Может можно через скрипт удалить все ненужные архиваторы и программы ,оставить только Нод.Если не трудно.А то боюсь могу запутаться с удалением.
    Вложения Вложения

  21. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Выполните скрипт в uVS:

    Код:
    ;uVS v3.83 BETA 16 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    OFFSGNSAVE
    breg
    
    exec C:\Program Files\HD-V1.9\Uninstall.exe /fcp=1
    exec "C:\Program Files\Hamster Soft\Hamster Lite Archiver\unins000.exe"
    exec "C:\Program Files\McAfee Security Scan\uninstall.exe"
    exec "C:\Program Files\Agnitum\Outpost Firewall Pro\unins000.exe"
    exec "C:\Program Files\IObit\Surfing Protection\unins000.exe"
    restart
    Компьютер перезагрузиться. На предложение удаления программ соглашайтесь если хотите оставить только Eset Antivirus.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  22. #19
    Junior Member Репутация
    Регистрация
    25.08.2014
    Сообщений
    12
    Вес репутации
    9
    Скрипт выполнил,компьютер почему-то сам не перезагрузился(ждал минут двадцать)сделал это вручную.
    Пока вроде всё в порядке,если что не так отпишусь в теме.
    Спасибо огромное за помощь!!!

  23. #20
    Junior Member Репутация
    Регистрация
    25.08.2014
    Сообщений
    12
    Вес репутации
    9
    Проблем не наблюдается.
    Спасибо огромное за помощь.

  • Уважаемый(ая) лопух паша, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 6
      Последнее сообщение: 02.11.2013, 00:42
    2. Nod 32 выдал Win32/Corkow.A в оперативной памяти
      От trutru7 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 06.01.2012, 03:20
    3. Win32/Corkow в оперативной памяти
      От Street163 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 01.01.2012, 16:25
    4. Троян Win32/Corkow.A в оперативной памяти
      От К_МИХАИЛ в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 02.12.2011, 00:10
    5. Вирус Win32/Corkow.A в оперативной памяти.
      От Xiton в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 04.11.2011, 23:53

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00808 seconds with 22 queries