Nod при загрузке ловит Win32/Corkow

[миднайт]

В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('RemoteRegistry', 4);
 DeleteFile('C:\Documents and Settings\User\Application Data\Microsoft Corporation\glmsvc.kmo');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\SISNIC','EventMessageFile','C:\WINDOWS\System32\netevent.dll');
RegKeyParamWrite('HKLM', 'Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad', 'SysTray', 'REG_SZ', '{35CEC8A3-2BE6-11D2-8773-92E220524153}');
RebootWindows(true);
end.

После перезагрузки повторите снова лог virusinfo_syscheck.zip‎

[Ариэль]

лог

[миднайт]

Еще разок.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

В AVZ выполните скрипт:

Код:

begin
ClearQuarantine;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys','');
 QuarantineFile('C:\Program Files\Common Files\microsoft shared\docax13s.pvd','');
 QuarantineFile('C:\Documents and Settings\User\Application Data\Microsoft Corporation\glmsvc.kmo','');
 DeleteFile('C:\Documents and Settings\User\Application Data\Microsoft Corporation\glmsvc.kmo');
 DeleteFile('C:\Program Files\Common Files\microsoft shared\docax13s.pvd');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamWrite('HKLM', 'Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad', 'SysTray', 'REG_SZ', '{35CEC8A3-2BE6-11D2-8773-92E220524153}');
RegKeyParamWrite('HKLM','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll','REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите в полном обь'еме.

[Ариэль]

карантин отправила, логи сделала, при создании 1-го лога, были удалены временные файлы интернета-так и должно быть?

[Bratez]

В приложенном архиве reg-файл, распакуйте и запустите его. На вопрос о добавлении в реестр ответьте положительно. Потом перезагрузите компьютер и сделайте заново лог virusinfo_syscheck.

[Ариэль]

лог

[Bratez]

Не сработало
Что-то вариантов я больше не нахожу...
Заразы нет, но значки в трее без восстановления этого параметра не появятся.

[миднайт]

Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

Сделайте лог полного сканирования MBAM

[Ариэль]

миднайт, можно уточнить, если выполнить последний скрипт,то понадобится активация виндоуз? Если у меня нет загрузочного диска, я не смогу этого сделать?

[миднайт]

Скрипт лишь покажет уязвимости в системе. Делайте смело. А устранять их или нет, дело второе. Если система лицензионная, то никаких проблем с активацией не может быть.

[Ариэль]

лог MBAM. В последнем скрипте АВЗ не пойму где начало, где первая строчка begin или со слова var ?

[миднайт]

Копируйте весь текст скрипта ScanVuln.txt от первого символа до последнего.

[Ариэль]

сделала скрипт АВЗ

[regist]

сделала скрипт АВЗ

устраните найденные уязвимости (перейдите по ссылкам и скачайте и установите обновлённые версии программ).

[Ариэль]

А это обязательно, указанные программы обновлять? Я так понимаю на антивирусную защиту они не влияют и значки в строке уведомления от этого обновления не появятся?

[regist]

А это обязательно, указанные программы обновлять? Я так понимаю на антивирусную защиту они не влияют

они влияют на уязвимость вашей системы и вероятность повторного заражения вирусами.

[Ариэль]

Пока собиралась обновить программы, опять появились проблемы- периодически виснет мышь, приходится перезагружать. Пару дней назад дочь хотела игрушку поставить-не получилось-ошибка "исходный файл поврежден", наверно после этого и начались зависания. Еще поставила себе модуль электронной отчетности sbiss для работы,но он лицензионный,

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\Documents and Settings\User\Application Data\Microsoft Corporation\glmsvc.kmo','');
 DeleteFile('C:\Documents and Settings\User\Application Data\Microsoft Corporation\glmsvc.kmo');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','SysTray');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)


и обязательно установите обновления.

Добавлено через 1 минуту

+ Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.

[Ариэль]

2-й скрипт для quarantine.zip не смогла сделать, пишет ошибка в позиции 4.1

Добавлено через 14 минут

Файл сохранён как 120201_234812_virusinfo_files_USER-41D9E52375_4f29cf3cb85a2.zip
Размер файла 1929944
MD5 2ec7a066d6cf55741090511dcd69dcc3

[regist]

2-й скрипт для quarantine.zip не смогла сделать, пишет ошибка в позиции 4.1

пришлите карантин согласно правилам Приложение 3. Как прислать запрошенные файлы. и ждём новые логи.