Добрый день.
Во время проверки компа программой Malwarebytes Anti-Malware обнаружил 7 файлов с вирусом Trojan.Corkow. Файлы были помещены в карантин и удалены. После повторной проверки были обнаружены еще 2 файла, которые также были помещены в карантин и удалены. Третья проверка показала, что все чисто.
Давно планировал переустановить систему. После всей этой возни решил это наконец то сделать.
Система была снесены, винчестер отформатирован и переразбит. Была установлена новая система.
Решил, на всякий случай, ее опять проверить с помощью Malwarebytes Anti-Malware.
Все повторяется.
Результат первой проверки 7 вирусов.JPG
Результат второй проверки: 2 вируса.JPG
После установки новой системы вроде никуда особо не лазил. Не должен был его заново подхватить.
Правда при форматировании программа мне указывала на странную область диска размером примерно в 10 М. Но я подумал, что там просто сбойные кластеры...
Это вирус такой живучий? Что смог пережить форматирование и переразбивку диска? Или что?
Что можно сделать?
Последний раз редактировалось vo2013; 24.02.2016 в 19:27.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) vo2013, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\System32\Filt\tmp\rfb49ndv.vbt','');
QuarantineFileF('C:\WINDOWS\System32\Filt\tmp', '*', false,'', 0, 0);
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ClearQuarantine;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\System32\Filt\tmp\22boy8e.vbt','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Могли бы файл заархивировать в zip с паролем virus и загрузить по ссылке "Прислать запрошенный карантин" вверху темы.
Было отказано в доступе.
может я что-то не правильно делаю?
У меня аутпост файервол установлен. Когда я AVZ запускаю, я его отключаю каждый раз.
Экспериментальное тыкание в кнопочки показало, что при отключенном аутпосте указанная папка пуста. файл4.JPG
При включении Аутпоста, там появился новый файл файл 3.JPG
Архиватор пишет что невозможно создать архив.
Отказано в доступе.
Поиск по форуму показывает, что возможно указанная папка принадлежит аутпосту. http://virusinfo.info/showthread.php?t=94742
Мне бы понять, вот этот мой троян - это троян (Trojan.Corkow) он типа этого https://habrahabr.ru/company/eset/blog/214197/ ?
Может имеет смысл еще раз переустановить систему и если он опять появиться не стирать файлы, а прислать их для исследования?
- - - - -Добавлено - - - - -
Могу повторить скрипты не отключая файервол.
Сейчас этот фал называется так: Вложение 618007
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Готово.
Первый фал пришлось заархивировать.
Пишет: "FRST.txt: 60.2 Кб превысил(а) предел на форуме. <a href="misc.php?do=attachments" target="_blank">Нажмите здесь для просмотра ваших вложений</a>"
ничего плохово не замечаю, для того чтобы искючить ложное срабатывание, могли бы один из вредоносных файлов по мнению Malwarebytes Anti-Malware запаковать в архив zip c паролем virus и загрузить по ссылке "Прислать запрошенный карантин" вверху темы.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
ничего плохово не замечаю, для того чтобы искючить ложное срабатывание, могли бы один из вредоносных файлов по мнению Malwarebytes Anti-Malware запаковать в архив zip c паролем virus и загрузить по ссылке "Прислать запрошенный карантин" вверху темы.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: