Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся
эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России,
Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане,
Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании
PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз
и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере
15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его
применить в корзине.
кстати, здесь пропуск редкого случая заражения системы Win 7 модификацией Corkow, который стартует с подменой в CLSID библиотеки связанной с systray.
путь к файлу троянской dll, как понимаю вытащен из журнала угроз, а не из образа автозапуска.
Цитата
15.03.2012 21:29:34 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1604) модифицированный Win32/Corkow.A троянская программа очистка невозможна TOSHIBA\Show Must Go On 12.03.2012 10:39:48 Защита в режиме реального времени файл C:\Users\Show Must Go On\AppData\Roaming\Microsoft Corporation\strmgvw.mon Win32/Corkow.D троянская программа очищен удалением - изолирован NT AUTHORITY\система Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\System32\svchost.exe.
причина в том, что юзер использовал старую версию 3.73, которая не показывает эту модификацию (исправление было внесено в 3.74), помимо этого очистка файла (в 3.73) приводила к исчезновению значков сети в трее.
Цитата
uVS v3.73: Windows 7 Professional x86 (NT v6.1) build 7600 [C:\WINDOWS]
Цитата
v3.73.2 тестируем, пофиксены проблемы с пропуском автозапуска и неправильной очистки реестра от ссылок на троян Corkow в Win7.
дурацкая у меня привычка не смотреть версию программы но странно что значки не появились после внесения изменений в реестр - запись там была, а значков нет... может действительно сам файл был удален
Правильно заданный вопрос - это уже половина ответа
15.03.2012 21:29:34 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1604) модифицированный Win32/Corkow.A троянская программа очистка невозможна TOSHIBA\Show Must Go On
судя по тому что пропал значок сети, значит увс нашел таки объект связанный с systray в реестре, но как это выглядит под win7 - не знаю, может потому и не помогла команда восстановления через EXEC. Это для XP сработает точно - проверено. Как для win 7 - не уверен. ------- тоже не всегда замечаю что образ сделан старой версией, но стараюсь глянуть всегда в лог по alt+L
Сейчас в ряде случаев - есть необходимость в создании образа автозапуска в безопасном режиме - при обнаружении Carberp. Может попробовать через команду: ADDDIR ?
