NOD32 обнаруживает сабж в оперативной памяти explorer.exe.
NOD32 обнаруживает сабж в оперативной памяти explorer.exe.
Уважаемый(ая) К_МИХАИЛ, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Admin\Application Data\lsass.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft Corporation\mch40.po',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\AdSubscribe\AdSubscribe.dll',''); DeleteFile('C:\Documents and Settings\Admin\Application Data\AdSubscribe\AdSubscribe.dll'); DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft Corporation\mch40.po'); DeleteFile('C:\Documents and Settings\Admin\Application Data\lsass.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','SysTray'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(20); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
После выполнения скрипта NOD32 находит Wyn32/Corkow.A в оперативной памяти - svchost.exe. Пропал значек подключения к интернету в области уведомлений. Логи сделанные после применения скрипта (лог МВАМ сделан до скрипта)
Дополнение - лог МВАМ после применения скрипта
В ожидании помощи запустил TDSSKiller. Восстановил в реестре 'HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\C urrentVersion\ShellServiceObjectDelayLoad','SysTra y', в надежде, что в панели задач появится пропавшее после скрипта AVZ подключение к интеренету и подключение USB устройств. После этого NOD перестал находить троян. Помогите теперь решить проблему с панелью задач, а то интернет не отключить и флешку не вынуть.
Удалите в МВАМ только указанные строкиКод:Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken. Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken. Объекты реестра заражены: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\ServiceDll (Hijack.LanmanServer) -> Bad: (%CommonProgramFiles%\microsoft shared\comrdssp.mmg) Good: (%SystemRoot%\System32\srvsvc.dll) -> No action taken. Зараженные папки: c:\documents and settings\Admin\application data\FieryAds (Adware.FieryAds) -> No action taken. c:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken. Зараженные файлы: c:\WINDOWS\assembly\GAC_MSIL\Desktop.ini (Backdoor.0Access) -> No action taken. c:\documents and settings\Admin\application data\avdrn.dat (Malware.Trace) -> No action taken. c:\documents and settings\Admin\application data\fieryads.dat (Adware.FieryAds) -> No action taken. c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
thyrex, Спасибо. При последней проверке МВАМ уже не было следующего пункта:
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\LanmanServer\Parameters\ServiceDll (Hijack.LanmanServer) -> Bad: (%CommonProgramFiles%\microsoft shared\comrdssp.mmg) Good: (%SystemRoot%\System32\srvsvc.dll) -> No action taken.
Остальные указанные Вами строки удалил. Вирусы не обнаруживаются, вот только проблема с панелью задач.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\application data\\microsoft corporation\\mch40.po - Trojan-Dropper.Win32.Metel.d ( DrWEB: BackDoor.Siggen.33484, BitDefender: Trojan.Generic.7135282, NOD32: Win32/Corkow.B trojan, AVAST4: Win32:Crypt-LME [Drp] )
Уважаемый(ая) К_МИХАИЛ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.