модифицированный Win32/Corkow - Форум технической поддержки ESET NOD32

Сообщений: 13

Баллов: 6

Регистрация: 31.01.2012

Размещено 31.01.2012 11:13:43

Получаю такие сообщения от NOD:
Модуль Модуль сканирования файлов, исполняемых при запуске системы - Предупреждение об угрозе на RD-PONOMAREVA: Оперативная память » explorer.exe(1360) заражен модифицированный Win32/Corkow.A троянская программа.
30.01.2012 9:02:14 - Модуль Модуль сканирования файлов, исполняемых при запуске системы - Предупреждение об угрозе на RD-PONOMAREVA: Оперативная память » explorer.exe(1360) заражен модифицированный Win32/Corkow.A троянская программа.

Проверялся AVZ и MBAM. Логи прилагаю (от разных дат, он с тех пор ничего не изменилось, компом к сожалению некогда было заниматься).

Прикрепленные файлы

virusinfo_syscheck.zip (26.94 КБ)
mbam-log-2012-01-23 (17-18-48).txt (1.98 КБ)
virusinfo_syscure.zip (27.4 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.01.2012 11:21:54

нужен образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
причем uVS должен быть версии .3.73.2
скачать отсюда
http://rghost.ru/users/santy/releases/utilitiesLiveCd

[ Как создать образ автозапуска? ]

Сообщений: 13

Баллов: 6

Регистрация: 31.01.2012

Размещено 31.01.2012 12:24:49

сделал.

Прикрепленные файлы

RD-PONOMAREVA-N_2012-01-31_12-19-56.7z (120.01 КБ)

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 31.01.2012 12:29:47

alexey77,
переделайте этот лог в Безопасном режиме

Цитата
-------------------------------------------------------- (!) Не удалось открыть ключ: [Отказано в доступе. ] HKEY_USERS\S-1-5-19\Environment (!) Не удалось открыть ключ: [Отказано в доступе. ] HKEY_USERS\S-1-5-19\Environment (!) Не удалось открыть ключ: [Отказано в доступе. ] HKEY_USERS\S-1-5-19\Environment (!) Не удалось открыть ключ: [Отказано в доступе. ] HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders (!) Не удалось открыть ключ: [Отказано в доступе. ] HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders (!) Не удалось открыть ключ: [Отказано в доступе. ] HKEY_USERS\S-1-5-19_Classes (!) Не удалось открыть ключ: [Отказано в доступе. ] HKEY_USERS\S-1-5-20\Environment (!) Не удалось открыть ключ: [Отказано в доступе. ] HKEY_USERS\S-1-5-20\Environment (!) Не удалось открыть ключ: [Отказано в доступе. ] HKEY_USERS\S-1-5-20\Environment (!) Не удалось открыть ключ: [Отказано в доступе. ] HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders (!) Не удалось открыть ключ: [Отказано в доступе. ] HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders (!) Не удалось открыть ключ: [Отказано в доступе. ] HKEY_USERS\S-1-5-20_Classes Загружено реестров пользователей: 0 Построение списка процессов и модулей... Обнаружен внедренный модуль: C:\PROGRAM FILES\REALVNC\VNC4\WM_HOOKS.DLL Анализ автозапуска... (!) Не удалось открыть ключ: [Отказано в доступе. ] HKLM\System\CurrentControlSet\Services\HealthService\Parameters (!) Не удалось открыть ключ: [Отказано в доступе. ] HKLM\System\CurrentControlSet\Services\TlntSvr (!) Не удалось открыть ключ: [Отказано в доступе. ] HKLM\System\CurrentControlSet\Services\WmiApRpl (!) Не удалось открыть ключ: [Отказано в доступе. ] HKLM\System\CurrentControlSet\Services\WmiApRpl\Performance Не удалось получить прямой доступ к диску Не удалось получить прямой доступ к диску (!) Не удалось открыть ключ: [Отказано в доступе. ] HKEY_USERS\S-1-5-19 (!) Не удалось открыть ключ: [Отказано в доступе. ] HKEY_USERS\S-1-5-20 (!) Не удалось открыть ключ: [Отказано в доступе. ] HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\ShellNoRoam\MUICache (!) Не удалось открыть ключ: [Отказано в доступе. ] HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\ShellNoRoam\MUICache Построение списка системных модулей и драйверов... (!) Не удалось получить прямой доступ к физическому диску #0, возможно в системе активен руткит! Анализ файлов в списке... Файл не найден: \DEVICE\WINDFS\ROOT\RDHOLDING.RU\SYSVOL\RDHOLDING.RU\POLICIES\{9D0A5C91-7D77-425D-96E5-7D62D49F6088}\USER\SCRIPTS\LOGON\HRDPBN.EXE Файл не найден: C:\WINDOWS\SYSTEM32\PSXSS.EXE Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_ATAPI.SYS Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_WMILIB.SYS Анализ завершен. Список готов. (!) Не удалось открыть ключ: [Отказано в доступе. ] HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer (!) Не удалось открыть ключ: [Отказано в доступе. ] HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer (!) Не удалось открыть ключ: [Отказано в доступе. ] HKLM\Software\Microsoft\Windows\CurrentVersion\BITS Не удалось получить прямой доступ к диску Не удалось получить прямой доступ к диску

Цитата

--------------------------------------------------------
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKEY_USERS\S-1-5-19\Environment
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKEY_USERS\S-1-5-19\Environment
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKEY_USERS\S-1-5-19\Environment
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKEY_USERS\S-1-5-19_Classes
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKEY_USERS\S-1-5-20\Environment
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKEY_USERS\S-1-5-20\Environment
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKEY_USERS\S-1-5-20\Environment
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKEY_USERS\S-1-5-20_Classes
Загружено реестров пользователей: 0
Построение списка процессов и модулей...
Обнаружен внедренный модуль: C:\PROGRAM FILES\REALVNC\VNC4\WM_HOOKS.DLL
Анализ автозапуска...
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKLM\System\CurrentControlSet\Services\HealthService\Parameters
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKLM\System\CurrentControlSet\Services\TlntSvr
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKLM\System\CurrentControlSet\Services\WmiApRpl
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKLM\System\CurrentControlSet\Services\WmiApRpl\Performance
Не удалось получить прямой доступ к диску
Не удалось получить прямой доступ к диску
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKEY_USERS\S-1-5-19
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKEY_USERS\S-1-5-20
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\ShellNoRoam\MUICache
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\ShellNoRoam\MUICache
Построение списка системных модулей и драйверов...
(!) Не удалось получить прямой доступ к физическому диску #0, возможно в системе активен руткит!
Анализ файлов в списке...
Файл не найден: \DEVICE\WINDFS\ROOT\RDHOLDING.RU\SYSVOL\RDHOLDING.RU\POLICIES\{9D0A5C91-7D77-425D-96E5-7D62D49F6088}\USER\SCRIPTS\LOGON\HRDPBN.EXE
Файл не найден: C:\WINDOWS\SYSTEM32\PSXSS.EXE
Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_ATAPI.SYS
Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_WMILIB.SYS
Анализ завершен.
Список готов.
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKLM\Software\Microsoft\Windows\CurrentVersion\BITS
Не удалось получить прямой доступ к диску
Не удалось получить прямой доступ к диску

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.01.2012 12:39:14

+
добавить лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Сообщений: 13

Баллов: 6

Регистрация: 31.01.2012

Размещено 02.02.2012 16:45:58

Переделал лог uVS в Безопасном режиме, но от пользователя Администратор.
Лог журнала экспортировал.

Прикрепленные файлы

RD-PONOMAREVA-N_2012-01-31_17-35-00.7z (119.74 КБ)
threat_from_nod.txt (3.75 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.02.2012 16:58:21

что то по журналу нет записей про Corkow, да и дата недельной давности последней угрозы.

Цитата
26.01.2012 10:50:34 Защита в режиме реального времени файл C:\Program Files\sm45\GMapCache\zbpvwm.exe модифицированный Win32/Tifaut.C червь удален - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\explorer.exe.

Цитата

26.01.2012 10:50:34 Защита в режиме реального времени файл C:\Program Files\sm45\GMapCache\zbpvwm.exe модифицированный Win32/Tifaut.C червь удален - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\explorer.exe.

образ сейчас посмотрю.

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.02.2012 17:02:19

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HRISTININA\APPLICATION DATA\LBISOV.EXE delall F:\MENINIKO\NETREBA.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\HRISTININA\APPLICATION DATA\QMKIN.EXE deltmp delnfr regt 5 regt 12 restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]   
;Target OS: NTv5.1

delall %SystemDrive%\DOCUMENTS AND SETTINGS\HRISTININA\APPLICATION DATA\LBISOV.EXE
delall F:\MENINIKO\NETREBA.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HRISTININA\APPLICATION DATA\QMKIN.EXE
deltmp
delnfr
regt 5
regt 12
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2010-10-04_13-30-55.rar/7z) из папки uVS отправить в почту [email protected]
если архив не был создан автоматически,
самостоятельно добавить папку ZOO (с копиями вирусов для вирлаба) в архив с паролем infected
----------
далее,
выполните быстрое сканирование в Malwarebytes

[ Как создать образ автозапуска? ]

Сообщений: 13

Баллов: 6

Регистрация: 31.01.2012

Размещено 03.02.2012 14:03:30

Прикладываю новый лог.
Вирус кстати о себе уже не напоминает 3 дня. может самоликвидировался?

Посмотрю теперь что будет в понедельник. Если опять проявится - напишу.
Хороших всем выходных!

Прикрепленные файлы

2012-02-03_13-57-40_log.txt (43.5 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.02.2012 14:19:30

Цитата
alexey77 пишет: Прикладываю новый лог. Вирус кстати о себе уже не напоминает 3 дня. может самоликвидировался? Посмотрю теперь что будет в понедельник. Если опять проявится - напишу. Хороших всем выходных!

Скрипт надо выполнить под Администратором, очевидно текущая учетная запись не является администратором в системе.

[ Как создать образ автозапуска? ]

[ Закрыто ] модифицированный Win32/Corkow , explorer.exe(1360) заражен модифицированный Win32/Corkow