Показано с 1 по 13 из 13.

Вирус win32/Corkow F. в оперативной памяти explorer.exe [not-a-virus:NetTool.Win32.Sniffer.dz ] (заявка № 139693)

  1. #1
    Junior Member Репутация
    Регистрация
    31.05.2013
    Сообщений
    6
    Вес репутации
    17

    Вирус win32/Corkow F. в оперативной памяти explorer.exe [not-a-virus:NetTool.Win32.Sniffer.dz ]

    Помогите удалить вирус из оперативной памяти. Вирус win32/Corkow F. обнаруживается ESET NOD 32 (версия 4), но пишет - Оперативная память = explorer.exe(520) - модифицированный Win32/Corkow.F троянская программа - очистка невозможна.
    Система Windows Vista Home Premium (32). Пробовал сканировать Kaspersky Removal Tool 10 и DrWeb CureIt - вирус не обнаруживается.

    Файл логов не грузятся на сайт, так что кидаю их черех Яндекс.Диск:

    virusinfo_syscheck.zip - http://yadi.sk/d/JFzKvgQO5NXKN
    virusinfo_syscure.zip - http://yadi.sk/d/ffLFaevI5NXIT
    hijackthis.log - http://yadi.sk/d/QTiL2SEb5NXId

    Буду очень благодарен за помощь!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) D@V, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,133
    Вес репутации
    929
    > Выполните скрипт в AVZ:

    Код:
    BEGIN
     ClearQuarantine;
    IF NOT IsWOW64 THEN
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(true);
      end;
     QuarantineFile('C:\Users\user\appdata\roaming\flash\cgminer.exe','');
     QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Geooou.exe','');
     DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\Geooou.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Geooou');
     DeleteFile('C:\Users\user\appdata\roaming\flash\cgminer.exe');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    END.
    После выполнения скрипта компьютер будет перезагружен.

    > Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.

    > Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.

    Сделайте отчет программы RSIT.

    _________________
    > как выполнить скрипт в AVZ

  5. #4
    Junior Member Репутация
    Регистрация
    31.05.2013
    Сообщений
    6
    Вес репутации
    17
    Скрипт выполнил, но нод32 все равно обнаруживает вирус !
    Карантин отправил.
    Вот все логи:
    hijackthis.log
    virusinfo_syscure.zip
    virusinfo_syscheck.zip

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,434
    Вес репутации
    730
    ProxyServer = 1.130.13.47:80 - сами прописывали ?

    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true); 
     QuarantineFile('C:\Users\user\AppData\Roaming\Flash\update.vbs','');
     QuarantineFile('C:\Users\user\AppData\Roaming\ScreenSaverPro.scr','');
     QuarantineFileF('C:\Users\user\AppData\Roaming\Flash','*', true,'',0 ,0);
     DeleteFile('C:\Users\user\AppData\Roaming\Flash\update.vbs');
     DeleteFile('C:\Users\user\AppData\Roaming\ScreenSaverPro.scr');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
     DeleteFileMask('C:\Users\user\AppData\Roaming\Flash', '*', true);
     DeleteDirectory('C:\Users\user\AppData\Roaming\Flash');
    BC_ImportALL;
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте полный образ автозапуска uVS

    - Сделайте лог полного сканирования МВАМ.

  7. #6
    Junior Member Репутация
    Регистрация
    31.05.2013
    Сообщений
    6
    Вес репутации
    17
    Все процедуры провел. Запрашиваемые Вами файлы пересылаю:
    USER-ПК_2013-06-02_16-39-27.TXT - http://yadi.sk/d/IvmQXSjB5R1py
    MBAM-log-2013-06-03 (01-07-41).txt - http://yadi.sk/d/dhOm6KGp5R1qw

  8. #7
    Junior Member Репутация
    Регистрация
    31.05.2013
    Сообщений
    6
    Вес репутации
    17
    Все процедуры провел. Запрашиваемые Вами файлы пересылаю:
    USER-ПК_2013-06-02_16-39-27.TXT - http://yadi.sk/d/IvmQXSjB5R1py
    MBAM-log-2013-06-03 (01-07-41).txt - http://yadi.sk/d/dhOm6KGp5R1qw

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,434
    Вес репутации
    730
    Выполните скрипт в uVS

    Код:
    ;uVS v3.80.1 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.0
    
    delref HTTP://WEBALTA.RU
    delall F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\DLL32.EXE
    restart
    Удалите в MBAM

    Код:
    Объекты реестра обнаружены:  2
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Плохо: (http://webalta.ru) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://webalta.ru) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
    + если вам не знакомо
    Код:
    Обнаруженные ключи в реестре:  1
    HKCU\SOFTWARE\HiSoft\CrackDownloader (CrackTool.Agent) -> Действие не было предпринято.
    тоже удалите.

    что с проблемой ?

  10. #9
    Junior Member Репутация
    Регистрация
    31.05.2013
    Сообщений
    6
    Вес репутации
    17
    Спасибо большое за помощь! Все работает!

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,434
    Вес репутации
    730
    Выполните скрипт в uVS и пришлите карантин.

    Код:
    ;uVS v3.80.1 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.0
    
    zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT CORPORATION\XWTLV1.IFI
    ; C:\USERS\USER\APPDATA\ROAMING\MICROSOFT CORPORATION\XWTLV1.IFI
    bl 0D7C4261A1BA042DE6054C6A92CD3208 459776
    delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT CORPORATION\XWTLV1.IFI
    restart
    Деинсталируйте MBAM, смените пароли.

    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

    сделайте новый образ автозапуска.

  12. Это понравилось:


  13. #11
    Junior Member Репутация
    Регистрация
    31.05.2013
    Сообщений
    6
    Вес репутации
    17
    Все зараженные файлы были вылечины посредством переустановки Windows. Прошу прощения, что начал пудрить мозги хелперам, просто появилась возможность перебить виндовс, и я ею воспользовался. Еще раз спасибо, что оперативно отозвались.

  14. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,434
    Вес репутации
    730
    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

    Советы и рекомендации после лечения компьютера

  15. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 39
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\users\\user\\appdata\\roaming\\flash\\api.clas s - not-a-virus:NetTool.Win32.Sniffer.dz
      2. c:\\users\\user\\appdata\\roaming\\flash\\cgminer. exe - not-a-virus:RiskTool.Win32.BitCoinMiner.cqy


  • Уважаемый(ая) D@V, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 07.03.2012, 13:13
    2. Nod 32 выдал Win32/Corkow.A в оперативной памяти
      От trutru7 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 06.01.2012, 02:20
    3. Win32/Corkow в оперативной памяти
      От Street163 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 01.01.2012, 15:25
    4. Троян Win32/Corkow.A в оперативной памяти
      От К_МИХАИЛ в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 01.12.2011, 23:10
    5. Вирус Win32/Corkow.A в оперативной памяти.
      От Xiton в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 04.11.2011, 22:53

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01323 seconds with 17 queries