модифицированный Win32/Corkow.A троянская программа

Printable View

23.02.2012, 15:02
Fardel

Вложений: 3

модифицированный Win32/Corkow.A троянская программа

Здравствуйте. ESET NOD 32 обнаружил в explorer.exe Win32/Corkow.A очистка невозможно.
Пожалуйста, помогите удалить эту гадость.
23.02.2012, 15:03
Info_bot

Уважаемый(ая) [B]Fardel[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
23.02.2012, 15:16
Techno

[URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL].
23.02.2012, 19:18
Fardel

Вложений: 1

Сделал. Вот лог.
23.02.2012, 20:29
Techno

- [URL="http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584"]Удалите в MBAM:[/URL]
[CODE]HKCU\Software\winxarj (Hoax.ArchSMS) -> Действие не было предпринято.

HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN|Windows Debugger 32 (Trojan.Agent) -> Параметры: C:\Windows\system32\debughelp32.exe -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: V)T—««Q©З‰ЁИIбИ*LP¬ЈЖ¤—I„µґ~H‘БТњ=&‹Ь§8Ј™¤°~cОяO?fm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвЦёoщ#єPV…жAА€µd¶TъаН¤V¬fg9(fm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПв[npФБ3fm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПв
ЎуRДГ-™OYTqЮЦ -> Действие не было предпринято.

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://www.smaxi.net) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Плохо: (http://www.smaxi.net) Хорошо: (http://www.google.com) -> Действие не было предпринято.

C:\Users\Farvicis\AppData\Local\Temp\debughelp32.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Users\Farvicis\AppData\Local\Temp\QipUpdate2011\QipUpdater.exe (Rogue.Agent) -> Действие не было предпринято.
C:\Users\Farvicis\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\17762009-721c4f4c (Backdoor.Agent) -> Действие не было предпринято.
C:\Users\Farvicis\AppData\Roaming\b2_res.exe (Trojan.Downloader) -> Действие не было предпринято.

C:\Users\Farvicis\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.[/CODE]
23.02.2012, 21:07
Fardel

Спасибо, проблема решена.
А что был за вирус? на сайте eset Только принцип работы вычитал.
После удаления такого комплекта вирусов - однозначно стоит менять все пароли? о_О
23.02.2012, 21:13
Techno

[quote="Fardel;870835"]А что был за вирус? на сайте eset Только принцип работы вычитал.[/quote]
Давайте посмотрим:)

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
ClearQuarantine;
QuarantineFileF('%appdata%\Malwarebytes\Malwar~1\Quarantine', 'quar*.*', false, '', 0, 0);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

И повторите лог hijackthis.
23.02.2012, 21:20
regist

[quote="Fardel;870835"]однозначно стоит менять все пароли?[/quote]
да, пароли надо обязательно сменить. Особенно если используете электронные платежи через банковские системы то в первую очередь от них.
23.02.2012, 21:27
Fardel

Вложений: 1

А разве при удалении вирусов Malwarebytes не удаляет все из карантина?
Во всяком случае архив "карантин" был пустой, но я его выслал)

Вот лог Hijackthis

p.s. при отправки архива quarantine.zip вылезла надпись, что мол файл уже был отправлен оО
23.02.2012, 21:54
Techno

[quote="Fardel;870852"]Во всяком случае архив "карантин" был пустой, но я его выслал)[/quote]
Значит не посмотрим:)

В логах порядок, меняйте пароли.

Прокси Ваш?
[CODE]ProxyServer = 180.95.129.232:80[/CODE]
23.02.2012, 22:10
Fardel

Да, было дело, включал разок. Он сейчас отключен, но в настройках браузера сохранен.
Вообщем, спасибо вам большое за помощь.