Троян Win32/Corkow.AX

**samsonov** · 25.12.2014, 15:35

NOD32 выдал сообщение:
Оперативная память » svchost.exe(1228) - модифицированный Win32/Corkow.AX троянская программа. Помогите убрать.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 25.12.2014, 15:36

Уважаемый(ая) samsonov, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 25.12.2014, 15:57

Сделайте лог полного сканирования МВАМ

Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
Распакуйте архив с утилитой в отдельную папку
Запустите sitlog.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
Прикрепите эти отчеты в вашей теме.

**samsonov** · 25.12.2014, 15:57

Что значит фраза - прислать запрошенный карантин?
Если это файл virusinfo_autoquarantine.zip, то он не прикрепляется,
при этом выдается сообщение, что он уже прикреплен.

**thyrex** · 25.12.2014, 16:10

Карантин от Вас пока никто не просил

**samsonov** · 25.12.2014, 16:46

Получил логи mbam.txt, SITLog.txt, SITLog_info.txt.
Вопрос - как их прикрепить к теме?

**thyrex** · 25.12.2014, 16:48

Точно так, как и обычные логи по правилам

**samsonov** · 25.12.2014, 17:27

Уточню вопрос. Как сделать вложение к сообщению.
Не могу найти как.

**thyrex** · 25.12.2014, 17:29

А логи в первом сообщении кто прикреплял? )))

Через кнопку Расширенный режим действуйте

**samsonov** · 25.12.2014, 17:42

Спасибо, понял.

**thyrex** · 25.12.2014, 17:53

Пофиксите в HiJack

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.funmoods.com/?f=1&a=iro...&cr=1797295336
O2 - BHO: IObit Toolbar - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - (no file)
O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: Яндекс.Бар (для ESET) - {7778AA60-698A-41D9-9BF0-7AB41045AA7F} - (no file)
O3 - Toolbar: IObit Toolbar - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - (no file)
O3 - Toolbar: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
O3 - Toolbar: Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

Список установленных расширений для Хрома напишите

В редакторе реестра откройте ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\LanmanServer\Parameters.
Найдите в ней параметр ServiceDll и процитируйте его значение

**samsonov** · 25.12.2014, 19:20

1. Пофиксил все, но забыл про первую строку. Сейчас там: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/. Можно-ли так оставить?
2. Установлены приложения:
Документы Google - включено;
Стартовая - Яндекс - включено;
ESET Virus radar - не включено.
3. В реестре нет LanmanServer, есть HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanworkstation.
У него в ветке parameters есть параметр ServiceDll, тип REG_EXPAND_SZ,
значение %SystemRoot%\System32\wkssvc.dll.

**mike 1** · 25.12.2014, 19:26

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

**samsonov** · 25.12.2014, 20:03

Результат работы uVS

**mike 1** · 25.12.2014, 21:20

Сделайте лог uVS из безопасного режима.

**samsonov** · 26.12.2014, 12:03

Лог в безопасном режиме превысил допустимый объем вложений и не прикладывается.
Как быть?

**mike 1** · 26.12.2014, 12:20

Удалите старые вложения. Мой кабинет => Вложения

**samsonov** · 26.12.2014, 12:41

Лог uVS из безопасного режима.

**mike 1** · 26.12.2014, 12:52

Сделайте экспорт журнала найденных угроз антивирусом.

+ Сделайте антивирусом сканирование только оперативной памяти. Потом сохраните лог и прикрепите его к сообщению.

**samsonov** · 26.12.2014, 13:08

Какой антивирус имеется в виду?
У меня стоит ESET.

Троян Win32/Corkow.AX (заявка № 173475)

Опции темы

Троян Win32/Corkow.AX

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

: Троян Win32/Corkow.AX

Антивирусная помощь

Похожие темы

Троян Win32/Corkow.A в оперативке- очистка невозможна

Троян Win32\Corkow.A

Троян Win32\Corkow.a

Троян Win32/Corkow.A в оперативной памяти

Nod поймал троян Win32/Corkow.A в памяти

Ваши права в разделе