модифицированный Win32/Corkow.A троянская программа

**Fardel** · 23.02.2012, 15:02

Здравствуйте. ESET NOD 32 обнаружил в explorer.exe Win32/Corkow.A очистка невозможно.
Пожалуйста, помогите удалить эту гадость.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 23.02.2012, 15:03

Уважаемый(ая) Fardel, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Techno** · 23.02.2012, 15:16

Сделайте лог полного сканирования MBAM.

**Fardel** · 23.02.2012, 19:18

Сделал. Вот лог.

**Techno** · 23.02.2012, 20:29

- Удалите в MBAM:

Код:

HKCU\Software\winxarj (Hoax.ArchSMS) -> Действие не было предпринято.

HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN|Windows Debugger 32 (Trojan.Agent) -> Параметры: C:\Windows\system32\debughelp32.exe -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: V)T—««Q©З‰ЁИIбИ*LP¬ЈЖ¤—I„µґ~H‘БТњ=&‹Ь§8Ј™¤°~cОяO?fm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвЦёoщ#єPV…жAА€µd¶TъаН¤V¬fg9(fm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПв[npФБ3fm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПвfm5BПв
ЎуRДГ-™OYTqЮЦ -> Действие не было предпринято.

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://www.smaxi.net) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Плохо: (http://www.smaxi.net) Хорошо: (http://www.google.com) -> Действие не было предпринято.

C:\Users\Farvicis\AppData\Local\Temp\debughelp32.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Users\Farvicis\AppData\Local\Temp\QipUpdate2011\QipUpdater.exe (Rogue.Agent) -> Действие не было предпринято.
C:\Users\Farvicis\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\17762009-721c4f4c (Backdoor.Agent) -> Действие не было предпринято.
C:\Users\Farvicis\AppData\Roaming\b2_res.exe (Trojan.Downloader) -> Действие не было предпринято.

C:\Users\Farvicis\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

**Fardel** · 23.02.2012, 21:07

Спасибо, проблема решена.
А что был за вирус? на сайте eset Только принцип работы вычитал.
После удаления такого комплекта вирусов - однозначно стоит менять все пароли? о_О

**Techno** · 23.02.2012, 21:13

Сообщение от Fardel

А что был за вирус? на сайте eset Только принцип работы вычитал.

Давайте посмотрим

- Выполните в АВЗ:

Код:

begin
 ClearQuarantine;
 QuarantineFileF('%appdata%\Malwarebytes\Malwar~1\Quarantine', 'quar*.*', false, '', 0, 0);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

И повторите лог hijackthis.

**regist** · 23.02.2012, 21:20

Сообщение от Fardel

однозначно стоит менять все пароли?

да, пароли надо обязательно сменить. Особенно если используете электронные платежи через банковские системы то в первую очередь от них.

**Fardel** · 23.02.2012, 21:27

А разве при удалении вирусов Malwarebytes не удаляет все из карантина?
Во всяком случае архив "карантин" был пустой, но я его выслал)

Вот лог Hijackthis

p.s. при отправки архива quarantine.zip вылезла надпись, что мол файл уже был отправлен оО

**Techno** · 23.02.2012, 21:54

Сообщение от Fardel

Во всяком случае архив "карантин" был пустой, но я его выслал)

Значит не посмотрим

В логах порядок, меняйте пароли.

Прокси Ваш?

Код:

ProxyServer = 180.95.129.232:80

**Fardel** · 23.02.2012, 22:10

Да, было дело, включал разок. Он сейчас отключен, но в настройках браузера сохранен.
Вообщем, спасибо вам большое за помощь.

модифицированный Win32/Corkow.A троянская программа (заявка № 117059)

Опции темы