-
Junior Member
- Вес репутации
- 40
Вирус win32/Corkow F. в оперативной памяти explorer.exe [not-a-virus:NetTool.Win32.Sniffer.dz
]
Помогите удалить вирус из оперативной памяти. Вирус win32/Corkow F. обнаруживается ESET NOD 32 (версия 4), но пишет - Оперативная память = explorer.exe(520) - модифицированный Win32/Corkow.F троянская программа - очистка невозможна.
Система Windows Vista Home Premium (32). Пробовал сканировать Kaspersky Removal Tool 10 и DrWeb CureIt - вирус не обнаруживается.
Файл логов не грузятся на сайт, так что кидаю их черех Яндекс.Диск:
virusinfo_syscheck.zip - http://yadi.sk/d/JFzKvgQO5NXKN
virusinfo_syscure.zip - http://yadi.sk/d/ffLFaevI5NXIT
hijackthis.log - http://yadi.sk/d/QTiL2SEb5NXId
Буду очень благодарен за помощь!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) D@V, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
> Выполните скрипт в AVZ:
Код:
BEGIN
ClearQuarantine;
IF NOT IsWOW64 THEN
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Users\user\appdata\roaming\flash\cgminer.exe','');
QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Geooou.exe','');
DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\Geooou.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Geooou');
DeleteFile('C:\Users\user\appdata\roaming\flash\cgminer.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
END.
После выполнения скрипта компьютер будет перезагружен.
> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.
> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.
Сделайте отчет программы RSIT.
_________________
> как выполнить скрипт в AVZ
-
-
Junior Member
- Вес репутации
- 40
Скрипт выполнил, но нод32 все равно обнаруживает вирус !
Карантин отправил.
Вот все логи:
hijackthis.log
virusinfo_syscure.zip
virusinfo_syscheck.zip
-
ProxyServer = 1.130.13.47:80 - сами прописывали ?
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\user\AppData\Roaming\Flash\update.vbs','');
QuarantineFile('C:\Users\user\AppData\Roaming\ScreenSaverPro.scr','');
QuarantineFileF('C:\Users\user\AppData\Roaming\Flash','*', true,'',0 ,0);
DeleteFile('C:\Users\user\AppData\Roaming\Flash\update.vbs');
DeleteFile('C:\Users\user\AppData\Roaming\ScreenSaverPro.scr');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
DeleteFileMask('C:\Users\user\AppData\Roaming\Flash', '*', true);
DeleteDirectory('C:\Users\user\AppData\Roaming\Flash');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Сделайте полный образ автозапуска uVS
- Сделайте лог полного сканирования МВАМ.
-
-
Junior Member
- Вес репутации
- 40
Все процедуры провел. Запрашиваемые Вами файлы пересылаю:
USER-ПК_2013-06-02_16-39-27.TXT - http://yadi.sk/d/IvmQXSjB5R1py
MBAM-log-2013-06-03 (01-07-41).txt - http://yadi.sk/d/dhOm6KGp5R1qw
-
Junior Member
- Вес репутации
- 40
Все процедуры провел. Запрашиваемые Вами файлы пересылаю:
USER-ПК_2013-06-02_16-39-27.TXT - http://yadi.sk/d/IvmQXSjB5R1py
MBAM-log-2013-06-03 (01-07-41).txt - http://yadi.sk/d/dhOm6KGp5R1qw
-
Выполните скрипт в uVS
Код:
;uVS v3.80.1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0
delref HTTP://WEBALTA.RU
delall F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\DLL32.EXE
restart
Удалите в MBAM
Код:
Объекты реестра обнаружены: 2
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Плохо: (http://webalta.ru) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://webalta.ru) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
+ если вам не знакомо
Код:
Обнаруженные ключи в реестре: 1
HKCU\SOFTWARE\HiSoft\CrackDownloader (CrackTool.Agent) -> Действие не было предпринято.
тоже удалите.
что с проблемой ?
-
-
Junior Member
- Вес репутации
- 40
Спасибо большое за помощь! Все работает!
-
Выполните скрипт в uVS и пришлите карантин.
Код:
;uVS v3.80.1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT CORPORATION\XWTLV1.IFI
; C:\USERS\USER\APPDATA\ROAMING\MICROSOFT CORPORATION\XWTLV1.IFI
bl 0D7C4261A1BA042DE6054C6A92CD3208 459776
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT CORPORATION\XWTLV1.IFI
restart
Деинсталируйте MBAM, смените пароли.
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
сделайте новый образ автозапуска.
Последний раз редактировалось regist; 05.06.2013 в 20:50.
-
-
Junior Member
- Вес репутации
- 40
Все зараженные файлы были вылечины посредством переустановки Windows. Прошу прощения, что начал пудрить мозги хелперам, просто появилась возможность перебить виндовс, и я ею воспользовался. Еще раз спасибо, что оперативно отозвались.
-
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Советы и рекомендации после лечения компьютера
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 39
- В ходе лечения обнаружены вредоносные программы:
- c:\\users\\user\\appdata\\roaming\\flash\\api.clas s - not-a-virus:NetTool.Win32.Sniffer.dz
- c:\\users\\user\\appdata\\roaming\\flash\\cgminer. exe - not-a-virus:RiskTool.Win32.BitCoinMiner.cqy
-