Угроза модифицированный Win32/Corkow.AE троянская программа

Сообщений: 3

Баллов: 1

Регистрация: 25.08.2014

Размещено 25.08.2014 14:02:59

Здравствуйте.
Троян обнаруживается только при входе пользователя kivilev. Поэтому на всякий случай прилагаю два лога IKANO_2014-08-25_15-10-53.7z - от имени пользователя kivilev(без прав администратора) и IKANO_2014-08-25_15-27-04.7z от имени Администратора.

Прикрепленные файлы

IKANO_2014-08-25_15-27-04.7z (409.04 КБ)
IKANO_2014-08-25_15-10-53.7z (359.72 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.08.2014 14:16:22

прокси ваш?

Полное имя HTTP://ERINOPE.COM/RECFOR/TODAY2.RUY
Имя файла HTTP://ERINOPE.COM/RECFOR/TODAY2.RUY
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
AUTOCONFIGURL (ССЫЛКА ~ AUTOCONFIGURL)(1) AND (AUTOCONFIGURL ~ HTTP)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Ссылки на объект
Ссылка HKLM\remcqziqo\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL http://erinope.com/recfor/today2.ruy

Ссылка HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL http://erinope.com/recfor/today2.ruy

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.08.2014 14:31:54

скрипт выполнять с правами администратора

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.83 BETA 22 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\DAODL\ALR20.IST delall D:\RUN.EXE deltmp delnfr restart

Код


;uVS v3.83 BETA 22 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\DAODL\ALR20.IST
delall D:\RUN.EXE
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 25.08.2014

Размещено 25.08.2014 15:09:21

Цитата
santy пишет: прокси ваш?

Доступ к интернет у нас организован через наш локальный прокси, если Вы об этом.
После выполнения скрипта NOD32 при проверке троян не обнаружил. Малверебайт обнаружил две угрозы. Лог прилагаю.
124 лог после применения карантина на Малверебайт

Прикрепленные файлы

123.txt (1.57 КБ)
124.txt (1.6 КБ)

Изменено: Василий Лымаренко - 25.08.2014 15:13:40

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 25.08.2014 15:11:21

Удалите обе угрозы, перезагрузите ПК.

Что с проблемой?

Сообщений: 3

Баллов: 1

Регистрация: 25.08.2014

Размещено 25.08.2014 15:25:15

Спасибо. Проблема решена. А почему возник вопрос о прокси если не секрет?

Прикрепленные файлы

125.txt (1.13 КБ)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 25.08.2014 15:27:01

Судя по логу, был прописан левый прокси

Цитата
Ссылки на объект Ссылка HKLM\remcqziqo\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL AutoConfigURL http://erinope.com/recfor/today2.ruy Ссылка HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL AutoConfigURL http://erinope.com/recfor/today2.ruy

Он уже удален.

Далее выполните наши рекомендации пользователям
http://forum.esetnod32.ru/forum9/topic3998/

[ Закрыто ] Угроза модифицированный Win32/Corkow.AE троянская программа