NOD32 обнаруживает сабж в оперативной памяти explorer.exe.
Printable View
NOD32 обнаруживает сабж в оперативной памяти explorer.exe.
Уважаемый(ая) [B]К_МИХАИЛ[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\lsass.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft Corporation\mch40.po','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\AdSubscribe\AdSubscribe.dll','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\AdSubscribe\AdSubscribe.dll');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft Corporation\mch40.po');
DeleteFile('C:\Documents and Settings\Admin\Application Data\lsass.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','SysTray');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Обновите базы AVZ
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
После выполнения скрипта NOD32 находит Wyn32/Corkow.A в оперативной памяти - svchost.exe. Пропал значек подключения к интернету в области уведомлений. Логи сделанные после применения скрипта (лог МВАМ сделан до скрипта)
Дополнение - лог МВАМ после применения скрипта
В ожидании помощи запустил TDSSKiller. Восстановил в реестре 'HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','SysTray', в надежде, что в панели задач появится пропавшее после скрипта AVZ подключение к интеренету и подключение USB устройств. После этого NOD перестал находить троян. Помогите теперь решить проблему с панелью задач, а то интернет не отключить и флешку не вынуть.
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\ServiceDll (Hijack.LanmanServer) -> Bad: (%CommonProgramFiles%\microsoft shared\comrdssp.mmg) Good: (%SystemRoot%\System32\srvsvc.dll) -> No action taken.
Зараженные папки:
c:\documents and settings\Admin\application data\FieryAds (Adware.FieryAds) -> No action taken.
c:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken.
Зараженные файлы:
c:\WINDOWS\assembly\GAC_MSIL\Desktop.ini (Backdoor.0Access) -> No action taken.
c:\documents and settings\Admin\application data\avdrn.dat (Malware.Trace) -> No action taken.
c:\documents and settings\Admin\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.[/code]
[b]thyrex[/b], Спасибо. При последней проверке МВАМ уже не было следующего пункта:
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\ServiceDll (Hijack.LanmanServer) -> Bad: (%CommonProgramFiles%\microsoft shared\comrdssp.mmg) Good: (%SystemRoot%\System32\srvsvc.dll) -> No action taken.
Остальные указанные Вами строки удалил. Вирусы не обнаруживаются, вот только проблема с панелью задач.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\application data\\microsoft corporation\\mch40.po - [B]Trojan-Dropper.Win32.Metel.d[/B] ( DrWEB: BackDoor.Siggen.33484, BitDefender: Trojan.Generic.7135282, NOD32: Win32/Corkow.B trojan, AVAST4: Win32:Crypt-LME [Drp] )[/LIST][/LIST]