Помогите вылечить
22.02.2012 11:14:11 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » svchost.exe(2000) модифицированный Win32/Corkow.A троянская программа очистка невозможна
AVZ
Помогите вылечить
22.02.2012 11:14:11 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » svchost.exe(2000) модифицированный Win32/Corkow.A троянская программа очистка невозможна
AVZ
Последний раз редактировалось Bratez; 22.02.2012 в 12:44. Причина: убрал лишнее вложение
Уважаемый(ая) Neonon, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Common Files\Services\msfcirt.dv',''); DeleteFile('C:\Program Files\Common Files\Services\msfcirt.dv'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll'); RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=116992).
Сделайте новые логи согласно п.2 и 3 раздела Диагностика.
I am not young enough to know everything...
Удивили. Оперативно работаете. Спасибо. NOD в оперативной памяти на данный момент не нашел вирус.
Карантин
Файл сохранён как 120222_091359_Quarantine_4f44b1d756c6c.zip
Размер файла 120
MD5 ee99f9c38270921d0f93b3dfcaf05a1e
Вот.
Снова его подхватили, в новой реинкарнации!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\docume~1\evdok\locals~1\temp\winlogon.exe',''); QuarantineFile('C:\Program Files\Common Files\Services\qclrcl32.amo',''); DeleteFile('C:\Program Files\Common Files\Services\qclrcl32.amo'); DeleteFile('c:\docume~1\evdok\locals~1\temp\winlogon.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll'); RebootWindows(true); end.
Пришлите новый карантин согласно приложению 3 правил.
Ставьте все доступные обновления безопасности для Windows.
Сделайте новый лог virusinfo_syscheck (только п.2 раздела Диагностика).
I am not young enough to know everything...
Файл сохранён как 120222_104727_Quarantine_4f44c7bfcb191.zip
Размер файла 139498
MD5 59a3ccd0a200c7532930a59e0473d3f7
выполните скрипт
компьютер перезагрузится, повторите лог.Код:begin RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); ExecuteRepair(6); ExecuteRepair(8); ExecuteWizard('TSW',2,3,true); RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(false); end.
+ Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.
Добавлено через 1 минуту
+ Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Последний раз редактировалось regist; 22.02.2012 в 15:00. Причина: Добавлено
Не получается выполнить скрипт
Ошибка: ';' expected в позиции 8:1
====================
Файл сохранён как 120222_111702_virusinfo_files_WINDOWSXPSP3_4f44cea e8023e.zip
Размер файла 2049792
MD5 6986eea846716f5c7cef49218039cfe6
Последний раз редактировалось Neonon; 22.02.2012 в 15:17.
лог
Рекомендую отключить автозапуск со всех носителей, кроме CD, для этого выполните скрипт
Что с проблемой ?Код:begin RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); end.
С какой проблемой? Скрипт запустил. NOD еще после первого скрипта не находит в оперативной памяти вирус.
Не знаю, с вирусом ли это связано, но теперь во время загрузки системы после экрана Windows на черном фоне и перед синим экраном Приветствие, стало выскакивать окно пустое в заголовке и в нем написано ae и по краеям два квадратика - видимо, какие-то не распознанные символы. Надо нажать ОК.
Сделайте и прикрепите новые логи.
логи
В логах ничего плохого.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Какие проблемы остались?
I am not young enough to know everything...
Окно сейчас не появилось.
Спасибо большое!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\common files\\services\\qclrcl32.amo - Trojan-Dropper.Win32.Metel.e ( DrWEB: BackDoor.Siggen.33484, NOD32: Win32/Corkow.E.Gen trojan, AVAST4: Win32:Dropper-KUM [Trj] )
Уважаемый(ая) Neonon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.