Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Не лечится троян

RSS
 
Денис Смирнов
Денис Смирнов
Пользователь
Сообщений: 90
Баллов: 72
Регистрация: 09.07.2015
Размещено 31.07.2015 17:04:36
Добрый день. Очень прошу оперативно помочь вылечить троян.
Итак мини история))
Есть один ПК, на котором думали стоит антивирь, а на самом деле про него забыли туда поставить и ХЗ сколько он без антивиря работал. Купили мы корпорат.лицензию ESETа и я все это дело разворачиваю на наших ПК. Вот и сегодня установил ESET Endpoint Antivirus 6, через Remote Administrator, и через некоторое время пользователь меня зовет и говорит, что ни чего не может открыть и работать невозможно.
Оказалось что на экран постоянно всплывает сообщение, что обнаружен троян CORKOW.AX (или AF), точно не помню не заскринил, в процессе Explorer (ID). И ни чего не дает открыть. Любой ярлык или программа, при попытке двойного клика, выдает "Ошибка доступа к файлу". Если зайти на этом ПК под другим доменным пользователем, то таких проблем нет!!!!

Но я решил протестить полностью ПК через ESET - ESET что-то там еще нашел, полечил, но этот троян не может удалить!
Прошелся Kaspersky Removal Tool, MailWare, CureIT - ни кто из них не видит этого трояна.

Почитал, что надо вроде как пользоваться утилитой uAV+ к ней на каком-то форуме прилагался какой-то скрипт, кажется тут и брал. Выполнить скрипт под текущим пользователем не могу, т.к. не могу запустить под ним uAV, приходится запускать от имени администратора, но в этом случае, он похоже начинает работать с профилем администратора, а не текущем! Короче он мне не помог!

Выручайте люди добрые!
Спасибо!

Ответы

Пред. 1 2 3 След.
 
Денис Смирнов
Денис Смирнов
Пользователь
Сообщений: 90
Баллов: 72
Регистрация: 09.07.2015
Размещено 04.08.2015 09:41:47
Доброе утро всем!
Сделал наконец-то образы автозапуска, прилагаю...
Надеюсь на излечение от этой заразы.
Повторюсь может, сейчас антивируса нет на ПК - удалил, чтобы пользователь мог работать. Образ создавал не под учетной записью пользователя, а под своей админской в обычном режиме работы ПК.
Спасибо!
1) С проверкой ЦП - http://rghost.ru/6LtrQ59nB
2) Без проверки ЦП - http://rghost.ru/8vxQkzNq6
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 04.08.2015 10:46:27
marine здесь имя вашего домена?
Цитата
Текущий пользователь: MARINE\gasan
интересный случай. файл трояна Корков прописан в шару другого компа.
Цитата
\\ENOT\USERSDATA$\SMIRNOV.D\APPLICATION DATA\DAOVS\IPSACCRC.ISR

выполните скрипт так же, с правами администратора.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

;------------------------autoscript---------------------------

chklst
delvir

delref \\ENOT\USERSDATA$\SMIRNOV.D\APPLICATION DATA\DAOVS\IPSACCRC.ISR

; Java(TM) 6 Update 37
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216034FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
 
Денис Смирнов
Денис Смирнов
Пользователь
Сообщений: 90
Баллов: 72
Регистрация: 09.07.2015
Размещено 04.08.2015 11:09:03
Цитата
santy написал:
marine здесь имя вашего домена?
Цитата
Текущий пользователь: MARINE\gasan
интересный случай. файл трояна Корков прописан в шару другого компа.
Цитата
\\ENOT\USERSDATA$\SMIRNOV.D\APPLICATION DATA\DAOVS\IPSACCRC.ISR
Да доменное имя это.
Но у нас настроены перемещаемые профили которые лежат по указанному пути \\enot.....
Т.е. троян прописался и в мой профиль?

Эта строка - \\ENOT\USERSDATA$\SMIRNOV.D\APPLICATION DATA\DAOVS\IPSACCRC.ISR - это мой профиль на серваке! Видимо когда я на его ПК делал вход под собой он туда записался

Да! А под каким пользователем выполнять скрипт? только под зараженным или под мои (Smirnov) можно?  И пролечится ли мой профиль по этому пути?
Изменено: Денис Смирнов - 04.08.2015 11:16:16
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 04.08.2015 11:18:42
вопрос конечно интересный.
выполните скрипт из под вашей учетки (с правами администратора),
дальше видно будет
------
+
добавьте новый образ автозапуска после выполнения скрипта.
посмотрим, помогла в вашем случае с перемещаемыми профилями очистка или нет
Изменено: santy - 04.08.2015 11:20:55
[ Как создать образ автозапуска? ]
 
Денис Смирнов
Денис Смирнов
Пользователь
Сообщений: 90
Баллов: 72
Регистрация: 09.07.2015
Размещено 04.08.2015 11:31:24
Цитата
santy написал:
DAOVS\IPSACCRC.ISR
Пойду сейчас сделаю! Но так вопросик еще в догонку... DAOVS\IPSACCRC.ISR - это файл вируса?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 04.08.2015 11:48:57
да, это файл вируса, точнее трояна. Corkow.
[ Как создать образ автозапуска? ]
 
Денис Смирнов
Денис Смирнов
Пользователь
Сообщений: 90
Баллов: 72
Регистрация: 09.07.2015
Размещено 04.08.2015 12:08:34
Наверное немного по другому теперь надо будет сделать. После выполнения этого скрипта, я так понимаю почиститься должен вирус в моем профиле (Smirnov), а проблемный пользователь (Gasan) затронут не будет? После выполнения скрипта сделаю еще образ автозагрузки именно из под проблемного пользователя. Думаю картина будет тоже с вирусом.
Пошел делать!
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 04.08.2015 12:17:30
видно будет. может быть, у вас все профили заражены этим трояном.
[ Как создать образ автозапуска? ]
 
Денис Смирнов
Денис Смирнов
Пользователь
Сообщений: 90
Баллов: 72
Регистрация: 09.07.2015
Размещено 04.08.2015 12:45:51
Цитата
santy написал:
видно будет. может быть, у вас все профили заражены этим трояном.
Итак:
Зашел под своей админской учеткой, как сегодня утром и выполнил ваш скрипт. ПК перезагрузился и я снова сделал образ автозагрузки без ЦП
вот он - это под моей учеткой (Smirnov) - http://rghost.ru/85xYBHdBY

А после, зашел под учеткой того пользователя (Gasan) под которой было все это дело замечено - http://rghost.ru/7rJDyLt5F
Надеюсь вирус побежден?

После вашего вторичного обследования, если скажете, что следов вируса нет, поставлю снова ESET на этот ПК и посмотрим, будет ли explorer снова блокироваться или будет все хорошо?
Спасибо!
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 04.08.2015 13:07:39
чисто.  и там и там.
ссылка была исправлена в реестре на правильное значение.
Изменено: santy - 04.08.2015 13:09:13
[ Как создать образ автозапуска? ]
 
Пред. 1 2 3 След.
Читают тему