модифицированный Win32/Corkow.A

RSS

Сообщений: 10

Баллов: 5

Регистрация: 16.11.2011

Размещено 16.11.2011 22:29:43

Такая же проблема!
Smart Security после каждой проверки выдает:
Оперативная память » explorer.exe(3744) - модифицированный Win32/Corkow.A троянская программа - очистка невозможна
Что только не делал - не могу вылечить... ХЕЛП МИ )

Прикрепленные файлы

ALEX-PC_2011-11-16_21-21-18.7z (222.65 КБ)

Ответы

Пред. 1 2 3 След.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.11.2011 09:09:54

сделайте лог журнала обнаруженных угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Сообщений: 10

Баллов: 5

Регистрация: 16.11.2011

Размещено 18.11.2011 18:53:31

Сделал лог журнала:

Прикрепленные файлы

угрозы.txt (2.03 КБ)

Изменено: samaramen - 18.11.2011 18:53:59

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.11.2011 08:55:34

остается подозрение на загрузчики. хотя и чистые при проверке на VT.

[ Как создать образ автозапуска? ]

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 19.11.2011 08:58:41

Да врядли... все же иетересно было глянуть лог рсита...

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.11.2011 09:09:29

2011.11.17 22:01
Анализ автозапуска...

Цитата
Построение списка системных модулей и драйверов... VBR NTFS [C:]: Неизвестный загрузчик SHA1: C3D4A7D092BF9F4ADE1609CE958873252FE8CF80 IPL NTFS [C:]: Неизвестный загрузчик SHA1: 9831CF7DF375DE8CC051FDD6174123E7F6D90A2A MBR#0 [149.0GB]: Неизвестный загрузчик SHA1: DA67949D8E80AE4B877B861155C27C0550D2F7A3

Цитата

Построение списка системных модулей и драйверов...
VBR NTFS [C:]: Неизвестный загрузчик SHA1: C3D4A7D092BF9F4ADE1609CE958873252FE8CF80
IPL NTFS [C:]: Неизвестный загрузчик SHA1: 9831CF7DF375DE8CC051FDD6174123E7F6D90A2A
MBR#0 [149.0GB]: Неизвестный загрузчик SHA1: DA67949D8E80AE4B877B861155C27C0550D2F7A3

Сейчас напишу инструкцию по RSIT на форуме
-----
ZloyDi, посмотри инструкцию, все в ней правильно?
http://forum.esetnod32.ru/forum9/topic2798/

Изменено: santy - 19.11.2011 09:14:59

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.11.2011 10:21:21

samaramen,
проверьте еще систему анти_руткитными утилитами
архив скачать по ссылке
http://rghost.ru/30760461
в tdsskiller ничего не удаляйте, если будет детект.
лог tdsskiller добавить на форум.

[ Как создать образ автозапуска? ]

Сообщений: 10

Баллов: 5

Регистрация: 16.11.2011

Размещено 19.11.2011 10:44:11

Проверил.
Вот его лог:

Прикрепленные файлы

лог tdsskiller.txt (37.5 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.11.2011 11:00:14

лог чистый,
сделайте лог rsit
http://forum.esetnod32.ru/messages/forum9/topic2798/message23934/#message23934
по ходу придется скачать hj и установить его

[ Как создать образ автозапуска? ]

Сообщений: 10

Баллов: 5

Регистрация: 16.11.2011

Размещено 19.11.2011 11:31:20

Сделал. Вот оба лога:

Прикрепленные файлы

info.txt (39.8 КБ)
log.txt (39.37 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.11.2011 11:51:45

закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

Код
;uVS v3.72 BETA 4 script [http://dsrt.dyndns.org] delref HTTP://WWW.SMARTWEBSEARCH.NET/INDEX.PHP?FROM=3 delall %SystemDrive%\PROGRAM FILES\HAMSTER SOFT\HAMSTER LITE ARCHIVER\HAMSTERARC.EXE delall %SystemDrive%\USERS\ALEX\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL delall %Sys32%\ACER.EXE restart

Код

;uVS v3.72 BETA 4 script [http://dsrt.dyndns.org]

delref HTTP://WWW.SMARTWEBSEARCH.NET/INDEX.PHP?FROM=3
delall %SystemDrive%\PROGRAM FILES\HAMSTER SOFT\HAMSTER LITE ARCHIVER\HAMSTERARC.EXE
delall %SystemDrive%\USERS\ALEX\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
delall %Sys32%\ACER.EXE
restart

перезагрузка, пишем о старых и новых проблемах.

[ Как создать образ автозапуска? ]

Пред. 1 2 3 След.