Printable View
[COLOR=black][FONT=Verdana]NOD32 выдал сообщение:
Оперативная память » svchost.exe(1228) - модифицированный Win32/Corkow.A[/FONT][/COLOR][COLOR=black][FONT=Verdana]X[/FONT][/COLOR][COLOR=black][FONT=Verdana] троянская программа. Помогите убрать.[/FONT][/COLOR]
Уважаемый(ая) [B]samsonov[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
[list][*]Скачайте [url="http://virusinfo.info/soft/tool.php?tool=SITLog"]SITLog[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]sitlog.exe[/b][indent][size=1][b]Обратите внимание[/b], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/size][/indent][*]В главном окне программы выберите проверку за последние три месяца и нажмите [b]"Старт"[/b][*]По окончанию работы программы в папке [b]LOG[/b] должны появиться два отчета [b]SITLog.txt[/b] и [b]SITLog_Info.txt[/b][*]Прикрепите эти отчеты в вашей теме.[/list]
Что значит фраза - прислать запрошенный карантин?
Если это файл virusinfo_autoquarantine.zip, то он не прикрепляется,
при этом выдается сообщение, что он уже прикреплен.
Карантин от Вас пока никто не просил
Получил логи mbam.txt, SITLog.txt, SITLog_info.txt.
Вопрос - как их прикрепить к теме?
Точно так, как и обычные логи по правилам
Уточню вопрос. Как сделать вложение к сообщению.
Не могу найти как.
А логи в первом сообщении кто прикреплял? )))
Через кнопку Расширенный режим действуйте
Спасибо, понял.
Пофиксите в HiJack
[QUOTE]R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtCyC0DtAyEzyyCtB0DyE0DtByCzztN0D0Tzu0CtByEtCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1797295336[/url]
O2 - BHO: IObit Toolbar - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - (no file)
O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: Яндекс.Бар (для ESET) - {7778AA60-698A-41D9-9BF0-7AB41045AA7F} - (no file)
O3 - Toolbar: IObit Toolbar - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - (no file)
O3 - Toolbar: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
O3 - Toolbar: Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)[/QUOTE]
Список установленных расширений для Хрома напишите
В редакторе реестра откройте ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters.
Найдите в ней параметр ServiceDll и процитируйте его значение
1. Пофиксил все, но забыл про первую строку. Сейчас там: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://global.acer.com/[/url]. Можно-ли так оставить?
2. Установлены приложения:
Документы Google - включено;
Стартовая - Яндекс - включено;
ESET Virus radar - не включено.
3. В реестре нет LanmanServer, есть HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation.
У него в ветке parameters есть параметр ServiceDll, тип REG_EXPAND_SZ,
значение %SystemRoot%\System32\wkssvc.dll.
[LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT][*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*][/LIST]
Результат работы uVS
Сделайте лог uVS из безопасного режима.
Лог в безопасном режиме превысил допустимый объем вложений и не прикладывается.
Как быть?
Удалите старые вложения. Мой кабинет => Вложения
Лог uVS из безопасного режима.
Сделайте экспорт журнала найденных угроз антивирусом.
+ Сделайте антивирусом сканирование [B]только[/B] оперативной памяти. Потом сохраните лог и прикрепите его к сообщению.
Какой антивирус имеется в виду?
У меня стоит ESET.