Вирус Corkow

При сканировании NOD 32 Оперативная память = explorer.exe(1924) - модифицированный Win32/Corkow.W троянская программа - очищен удалением [1]
При работе время от времени угроза антивирус выдает explorer.exe(....)модифицированный Win32/Corkow.F (цифры меняются)

[ATTACH]463234[/ATTACH]
[ATTACH]463235[/ATTACH]
[ATTACH]463236[/ATTACH]

Уважаемый(ая) [B]скобка[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Запускайте AVZ правой кнопкой мыши - "Запуск от имени Администратора".
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Users\Asus\1045883.exe','');
QuarantineFile('C:\Users\Asus\AppData\Roaming\DAOgu\P2PPrese.grl','');
DeleteFile('C:\Users\Asus\AppData\Roaming\DAOgu\P2PPrese.grl','32');
DeleteFile('C:\Users\Asus\1045883.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" в шапке этой темы.

Загрузите virusinfo_autoquarantine.zip из папки AVZ\LOG по красной ссылке в шапке этой темы "Прислать запрошенный карантин".

Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" [URL="http://virusinfo.info/pravila.html"]правил[/URL]) и приложите в теме.

Карантин отправил вот файлы
[ATTACH]463265[/ATTACH]
[ATTACH]463266[/ATTACH]

Что с проблемой?

Сканирование NOD32 чисто , угрозы не всплывают, но при сканировании ошибка открытия загрузочные сектора дисков С и D и множества других файлов
невозможно вообще открыть диск D появляется требование его отформатировать
иконки центр поддержки, громкости и сети невозможно восстановить на панели задач(неактивны)

Скачайте в отдельную папку TDSSKiller:
[url]http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe[/url]
Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл в корне системного диска (обычно это C:\TDSSKiller.***_log.txt) приложите в теме.
(где *** - версия программы, дата и время запуска).

Порграмма не нашла проблем. Иконки кстати после нескольких перезагрузок восстановились. Но остальное без изменений
[ATTACH]463321[/ATTACH]

1) Смените все пароли.

2) [url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url] только программу скачайте [url=http://yadi.sk/d/3KwxKzRHJMq4U]отсюда[/url]

Пароли сменил Отправляю файл
[ATTACH]463342[/ATTACH]

[CODE]C:\USERS\ASUS\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE[/CODE]

Заархивируйте в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.

[url=http://virusinfo.info/showthread.php?t=121985][b]Сделайте образ автозапуска uVS с Live CD. [/b][/url]

Не понимаю что делать с присланным кодом ,
C:\USERS\ASUS\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
пожалуйста напишите подробнее
образ автозапуска
[INFORMATION][/INFORMATION][ATTACH]463614[/ATTACH]

[quote="скобка;1094076"]Не понимаю что делать с присланным кодом ,
C:\USERS\ASUS\APPDATA\ROAMING\UTORRENT\UTORRENT.EX E
пожалуйста напишите подробнее[/quote]
написал
[QUOTE]Заархивируйте в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.[/QUOTE]
архиватором, к примеру WinRar-ом умеете же пользоваться? А красная ссылка наверху, её думаете тоже видите.

С Live CD на все диски нормально зайти можете?

отправил по красной ссылке, просто я не мог найти этот файл через поиск -нет результата
нашел по контекстному меню через ярлык -расположение файла

С live CD а я использовал флешку был один нюанс , после открытия окна uVS и "выбрать каталог виндовс " открылся проводник, но диск С -надпись "зарезервировано системой" и он не открывался будто пуст, а диск D открылся каталог с папкой виндовс и всеми другими которые вроде должны быть на диске С и я указал путь D\WINDOWS и "запустить под текущим пользователем"

[quote="скобка;1094100"]С live CD а я использовал флешку был один нюанс , после открытия окна uVS и "выбрать каталог виндовс " открылся проводник, но диск С -надпись "зарезервировано системой" и он не открывался будто пуст, а диск D открылся каталог с папкой виндовс и всеми другими которые вроде должны быть на диске С[/quote]

[b]скобка[/b], ваш диск "D" у вас должен был отображаться как "E" проверьте на него можете зайти?

нет не могу появляется окно диск не отформатирован требуется отформатировать диск

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url]

[CODE];uVS v3.82 [http://dsrt.dyndns.org]
;Target OS: NTv6.2

fixvbr D: 6
deldir %SystemDrive%\USERS\ASUS\AppData\Roaming\DAOgu[/CODE]

после этого ещё раз проверьте проблему.

нет по прежнему требование отформатировать диск
в папке где распакована UVS, архив имя которого отвечает дате и времени запуска скрипта с префиксом ZOO отсутствует , есть только текстовый документ (дата время log)

Попробуйте восстановить с помлщью программы testdisk, подробней читайте [URL="http://chklst.ru/forum/discussion/83/vosstanavlivaem-dostup-k-sisteme-posle-zarazheniya-mbrlock"]здесь[/URL].

увы эта попытка закончилась тем, что программа testdisk обнаружила один диск ,
диск D исчез, управление дисками показало вместо диска D -не распределен