Троянская программа - Форум технической поддержки ESET NOD32

Сообщений: 8

Баллов: 4

Регистрация: 22.12.2011

Размещено 22.12.2011 20:31:03

Здравствуйте,прошу у вас помощи,т.к. сам справиться не могу.
Антивирус выдаёт уведомление (Оперативная память » svchost.exe(1224) модифицированный Win32/Corkow.A троянская программа очистка невозможна USER-73B0B37457\Администратор)
У меня стоит лицензионный антивирус-ESET NOD32 Antivirus,версия 5.0.93.15
Операционная система-Microsoft Windows XP.
Сам я чайник,могу чего-то не понять.
Подскажите,что делать?

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.12.2011 20:33:39

Сделайте лог uVS
http://forum.esetnod32.ru/forum9/topic2687/

Правильно заданный вопрос - это уже половина ответа

Сообщений: 8

Баллов: 4

Регистрация: 22.12.2011

Размещено 22.12.2011 20:46:55

http://rghost.ru/35546745
;uVS v3.73 [Windows 5.1.2600 SP3 Service Pack 3]
; Подозрительные и вирусы <=

ПОДОЗРИТ. | C:\WINDOWS\SYSTEM32\BASECSP.DLL
ПОДОЗРИТ. | C:\WINDOWS\SYSTEM32\CALC.EXE
ПОДОЗРИТ. | C:\WINDOWS\SYSTEM32\CLIPSRV.EXE
ПОДОЗРИТ. | C:\WINDOWS\SYSTEM32\CMD.EXE
ПОДОЗРИТ. | C:\WINDOWS\SYSTEM32\CSCRIPT.EXE
ПОДОЗРИТ. | C:\WINDOWS\SYSTEM32\CTFMON.EXE
ПОДОЗРИТ(А)| C:\WINDOWS\EXPLORER.EXE
ПОДОЗРИТ. | C:\WINDOWS\PCHEALTH\HELPCTR\BINARIES\HELPCTR.EXE
ПОДОЗРИТ. | D:\OHAS123123123123\ADOBE_AUDITION_V1_5\SERIAL _ KEYGEN\KEYMAKER_TTDOWN.COM.EXE
ПОДОЗРИТ. | C:\WINDOWS\SYSTEM32\LOGONUI.EXE
ПОДОЗРИТ. | C:\WINDOWS\SYSTEM32\MMC.EXE
ПОДОЗРИТ. | C:\WINDOWS\PCHEALTH\HELPCTR\BINARIES\MSCONFIG.EXE
ПОДОЗРИТ. | C:\WINDOWS\SYSTEM32\MSDTC.EXE
ПОДОЗРИТ. | C:\WINDOWS\SYSTEM32\MSHTA.EXE
ПОДОЗРИТ. | C:\WINDOWS\SYSTEM32\MSIEXEC.EXE
ПОДОЗРИТ. | C:\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\NETPROTOCOL.EXE
ПОДОЗРИТ. | C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
ПОДОЗРИТ. | C:\WINDOWS\SYSTEM32\NOTEPAD.EXE
ПОДОЗРИТ(А)| C:\WINDOWS\SYSTEM32\NTKRNLPA.EXE
ПОДОЗРИТ. | C:\WINDOWS\SYSTEM32\NTOSKRNL.EXE
ПОДОЗРИТ. | C:\WINDOWS\SYSTEM32\NTSD.EXE
ПОДОЗРИТ. | C:\PROGRAM FILES\PROWISE\PROWISE.EXE
ПОДОЗРИТ. | C:\WINDOWS\REGEDIT.EXE
ПОДОЗРИТ. | C:\WINDOWS\SYSTEM32\RESTORE\RSTRUI.EXE
ПОДОЗРИТ. | D:\OHAS123123123123\ADOBE_AUDITION_V1_5\SETUP_TTDOWN.COM.EXE
ПОДОЗРИТ. | C:\WINDOWS\SYSTEM32\SNDREC32.EXE
ПОДОЗРИТ. | C:\WINDOWS\SYSTEM32\SNDVOL32.EXE
ПОДОЗРИТ. | C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
ПОДОЗРИТ. | C:\PROGRAM FILES\COMMON FILES\ADOBE\SWITCHBOARD\SWITCHBOARD.EXE
ПОДОЗРИТ. | C:\WINDOWS\SYSTEM32\TASKMGR.EXE
ПОДОЗРИТ(А)| C:\WINDOWS\SYSTEM32\DRIVERS\TCPIP.SYS
ПОДОЗРИТ. | C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\UMDRDRES.QUO
ПОДОЗРИТ(А)| C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE
ПОДОЗРИТ(А)| C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
ПОДОЗРИТ. | C:\WINDOWS\SYSTEM32\WSCRIPT.EXE

Изменено: OTR - 22.12.2011 20:47:41

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.12.2011 20:51:46

Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!

Код
;uVS v3.73 script [http://dsrt.dyndns.org] ; C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\UMDRDRES.QUO addsgn 79A853921D1F5241CB57569C1BC05286DDEE800362F575787AB7E1ACAFA25540CB013CA8C13F9C11E98C84F5457C49907D37ED8DAA2535EC59675B5BE30ADD07 16 Corkow zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\UMDRDRES.QUO bl 48AAD6738BFFE6301C17E4FD5D5A2A23 311296 delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\UMDRDRES.QUO delref HTTP://WWW.MAIL.RU/CNT/5089 delref HTTP://WWW.MAIL.RU/CNT/8569 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\NETPROTOCOL.EXE deltmp delnfr czoo restart

Код

;uVS v3.73 script [http://dsrt.dyndns.org]

; C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\UMDRDRES.QUO
addsgn 79A853921D1F5241CB57569C1BC05286DDEE800362F575787AB7E1ACAFA25540CB013CA8C13F9C11E98C84F5457C49907D37ED8DAA2535EC59675B5BE30ADD07 16 Corkow

zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\UMDRDRES.QUO
bl 48AAD6738BFFE6301C17E4FD5D5A2A23 311296
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\UMDRDRES.QUO
delref HTTP://WWW.MAIL.RU/CNT/5089
delref HTTP://WWW.MAIL.RU/CNT/8569
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\NETPROTOCOL.EXE
deltmp
delnfr
czoo
restart

И жмем Выполнить. После выполнения скрипт - ПК перезагрузится.
В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес [email protected]
Если архив не появился, то сами архивируем папку ZOO, ставим пароль virus и отправляем на адрес.

Изменено: Арвид - 22.12.2011 20:52:32

Правильно заданный вопрос - это уже половина ответа

Сообщений: 8

Баллов: 4

Регистрация: 22.12.2011

Размещено 22.12.2011 21:18:05

Выслал.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.12.2011 21:23:16

Антивирус больше не ругается?
Сделайте лог Malwarebytes

Правильно заданный вопрос - это уже половина ответа

Сообщений: 8

Баллов: 4

Регистрация: 22.12.2011

Размещено 22.12.2011 21:37:02

Кажется это
Антивирус ругается при старте ПК

Прикрепленные файлы

mbam-log-2011-12-22 (21-30-18).txt (1005 Б)

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.12.2011 21:38:42

на что ругается?
сделайте лог журнала обнаруженных угроз

Правильно заданный вопрос - это уже половина ответа

Сообщений: 8

Баллов: 4

Регистрация: 22.12.2011

Размещено 22.12.2011 21:48:41

Я не так понял,не ругается.

Прикрепленные файлы

угрозы.txt (2.32 КБ)

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.12.2011 21:51:00

Не ругается - значит чисто. А записи в журнале старые, надо было его очистить перед созданием нового
Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

[ Закрыто ] Троянская программа , ...