Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
кстати, здесь пропуск редкого случая заражения системы Win 7 модификацией Corkow, который стартует с подменой в CLSID библиотеки связанной с systray.
путь к файлу троянской dll, как понимаю вытащен из журнала угроз, а не из образа автозапуска.
Цитата
15.03.2012 21:29:34 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1604) модифицированный Win32/Corkow.A троянская программа очистка невозможна TOSHIBA\Show Must Go On 12.03.2012 10:39:48 Защита в режиме реального времени файл C:\Users\Show Must Go On\AppData\Roaming\Microsoft Corporation\strmgvw.mon Win32/Corkow.D троянская программа очищен удалением - изолирован NT AUTHORITY\система Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\System32\svchost.exe.
причина в том, что юзер использовал старую версию 3.73, которая не показывает эту модификацию (исправление было внесено в 3.74), помимо этого очистка файла (в 3.73) приводила к исчезновению значков сети в трее.
Цитата
uVS v3.73: Windows 7 Professional x86 (NT v6.1) build 7600 [C:\WINDOWS]
Цитата
v3.73.2 тестируем, пофиксены проблемы с пропуском автозапуска и неправильной очистки реестра от ссылок на троян Corkow в Win7.
дурацкая у меня привычка не смотреть версию программы но странно что значки не появились после внесения изменений в реестр - запись там была, а значков нет... может действительно сам файл был удален
Правильно заданный вопрос - это уже половина ответа
15.03.2012 21:29:34 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1604) модифицированный Win32/Corkow.A троянская программа очистка невозможна TOSHIBA\Show Must Go On
судя по тому что пропал значок сети, значит увс нашел таки объект связанный с systray в реестре, но как это выглядит под win7 - не знаю, может потому и не помогла команда восстановления через EXEC. Это для XP сработает точно - проверено. Как для win 7 - не уверен. ------- тоже не всегда замечаю что образ сделан старой версией, но стараюсь глянуть всегда в лог по alt+L
Сейчас в ряде случаев - есть необходимость в создании образа автозапуска в безопасном режиме - при обнаружении Carberp. Может попробовать через команду: ADDDIR ?
