Обнаружена угроза в памяти Win32/Corkow.AE - Форум технической поддержки ESET NOD32

Сообщений: 4

Баллов: 2

Регистрация: 11.08.2014

Размещено 11.08.2014 08:51:45

Добрый день. При загрузке (и перезагрузке) нод32 выдает сообщение "Обнаружена угроза в памяти! Оперативная память=svchost.exe (1988) Модифицированный Win32/Corkow.AE троянская программа. Очищен удалением. "
Помогите, пожалуйста.

Прикрепленные файлы

oscar_110814.txt (17.01 КБ)
OSCAR_2014-08-11_08-23-43.7z (424.26 КБ)

Изменено: Elena Medvedeva - 11.08.2014 08:52:10

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.08.2014 09:01:58

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.83 BETA 13 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\SPEECHENGINES\MICROSOFT\SP2XN\SMTATCHA.3L3 delall %SystemDrive%\PROGRAM FILES\COMMON FILES\SPEECHENGINES\MICROSOFT\SP2XN\SMTATCHA.3L3 ;------------------------autoscript--------------------------- chklst delvir delref {11111111-1111-1111-1111-110311551178}\[CLSID] ; Java(TM) 6 Update 17 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017F0} /quiet deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.83 BETA 13 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\SPEECHENGINES\MICROSOFT\SP2XN\SMTATCHA.3L3
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\SPEECHENGINES\MICROSOFT\SP2XN\SMTATCHA.3L3
;------------------------autoscript---------------------------

chklst
delvir

delref {11111111-1111-1111-1111-110311551178}\[CLSID]

; Java(TM) 6 Update 17
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017F0} /quiet
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: ZOO_2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected]
далее,
выполните сканирование (угроз) в Malwarebytes

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 11.08.2014

Размещено 11.08.2014 09:29:15

проблем пока нет
zoo отправила, лог mbam:

Прикрепленные файлы

mbam.txt (5.59 КБ)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 11.08.2014 09:34:30

Вот это можно оставить

Цитата
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER\|UpdatesDisableNotify, 1, Good: (0), Bad: (1),,[d17c19ac9ae11125b78b2f95e91bd828]

Остальное удалить! ПК перезагрузить. Что с проблемой?

Сообщений: 4

Баллов: 2

Регистрация: 11.08.2014

Размещено 11.08.2014 09:47:06

все сделано
Проблема после выполнения скрипта не появлялась.
вопрос - достаточно ли выполнить сканирование всех пк в сети нодом ? Или посоветуете еще что-то? На других компьютерах этой проблемы пока не было, имею в виду Corkow.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.08.2014 09:53:21

да, не мешает выполнить сканирование всех компов (сканирование должно его выявить в автозапуске, если он там есть),
корков конечно, не вирус, не будет распространяться от машины к машине, но меры безопасности надо принять.
по зараженной машине у вас древняя версия java, обновите по нашим рекомендациям.
http://forum.esetnod32.ru/forum9/topic3998/

если зараженный комп работал с банковскими системами, но имеет смысл поменять всевозможные пароли. это ведь банковский троян,
нацелен на кражу банковской информации.

Изменено: santy - 11.08.2014 09:54:00

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 11.08.2014

Размещено 11.08.2014 09:55:25

Понятно. спасибо!

[ Закрыто ] Обнаружена угроза в памяти Win32/Corkow.AE