Помогите вылечить
22.02.2012 11:14:11 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » svchost.exe(2000) модифицированный Win32/Corkow.A троянская программа очистка невозможна
AVZ
Printable View
Помогите вылечить
22.02.2012 11:14:11 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » svchost.exe(2000) модифицированный Win32/Corkow.A троянская программа очистка невозможна
AVZ
Уважаемый(ая) [B]Neonon[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\Services\msfcirt.dv','');
DeleteFile('C:\Program Files\Common Files\Services\msfcirt.dv');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=116992[/url]).
Сделайте новые логи согласно п.2 и 3 раздела Диагностика.
Удивили. Оперативно работаете. Спасибо. NOD в оперативной памяти на данный момент не нашел вирус.
Карантин
Файл сохранён как 120222_091359_Quarantine_4f44b1d756c6c.zip
Размер файла 120
MD5 ee99f9c38270921d0f93b3dfcaf05a1e
Я просил
[quote="Bratez;870210"]логи согласно п.2 и 3 раздела Диагностика[/quote]
Вот.
Снова его подхватили, в новой реинкарнации!
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\docume~1\evdok\locals~1\temp\winlogon.exe','');
QuarantineFile('C:\Program Files\Common Files\Services\qclrcl32.amo','');
DeleteFile('C:\Program Files\Common Files\Services\qclrcl32.amo');
DeleteFile('c:\docume~1\evdok\locals~1\temp\winlogon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Ставьте все доступные обновления безопасности для Windows.
Сделайте новый лог virusinfo_syscheck (только п.2 раздела [I]Диагностика[/I]).
Файл сохранён как 120222_104727_Quarantine_4f44c7bfcb191.zip
Размер файла 139498
MD5 59a3ccd0a200c7532930a59e0473d3f7
выполните скрипт
[CODE]begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteWizard('TSW',2,3,true);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(false);
end.[/CODE]
компьютер перезагрузится, повторите лог.
+ Проведите процедуру, которая описана в первом сообщении [url=http://virusinfo.info/showthread.php?t=3519][B]тут[/B][/url]. Результат загрузки напишите в сообщении здесь.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
+ Откройте файл [url=http://df.ru/~kad/ScanVuln.txt][B]ScanVuln.txt[/B][/url]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Не получается выполнить скрипт
Ошибка: ';' expected в позиции 8:1
====================
Файл сохранён как 120222_111702_virusinfo_files_WINDOWSXPSP3_4f44ceae8023e.zip
Размер файла 2049792
MD5 6986eea846716f5c7cef49218039cfe6
[quote="Neonon;870286"]Не получается выполнить скрипт
Ошибка: ';' expected в позиции 8:1[/quote]
скрипт скопировали не полностью, пропущена при копирование последня строчка :
[B]end.[/B]
лог
Рекомендую отключить автозапуск со всех носителей, кроме CD, для этого выполните скрипт
[CODE]begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
end.[/CODE]
Что с проблемой ?
С какой проблемой? Скрипт запустил. NOD еще после первого скрипта не находит в оперативной памяти вирус.
Не знаю, с вирусом ли это связано, но теперь во время загрузки системы после экрана Windows на черном фоне и перед синим экраном Приветствие, стало выскакивать окно пустое в заголовке и в нем написано ae и по краеям два квадратика - видимо, какие-то не распознанные символы. Надо нажать ОК.
Сделайте и прикрепите новые логи.
логи
В логах ничего плохого.
Выполните скрипт в AVZ:
[code]
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Какие проблемы остались?
Окно сейчас не появилось.
[B][SIZE=4][COLOR="#0000FF"]Спасибо большое![/COLOR][/SIZE][/B]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\common files\\services\\qclrcl32.amo - [B]Trojan-Dropper.Win32.Metel.e[/B] ( DrWEB: BackDoor.Siggen.33484, NOD32: Win32/Corkow.E.Gen trojan, AVAST4: Win32:Dropper-KUM [Trj] )[/LIST][/LIST]