Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Win32/Corkow.A в explorer.exe, очистка невозможна

1 2 След.
RSS
 
sunseterry
sunseterry
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 19.01.2012
Размещено 19.01.2012 11:42:18
Win32/Corkow.A в explorer.exe, очистка невозможна
Не могу вылечить, очень нужна помощь.
Если можно, разжевать все по шагам, так как полный ноль в этом деле.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 19.01.2012 11:51:06
Вот это делать
http://forum.esetnod32.ru/forum9/topic2687/
 
sunseterry
sunseterry
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 19.01.2012
Размещено 19.01.2012 12:00:28
Сделал.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 19.01.2012 12:32:52
В программе которую скачали выше, запускаем еще раз, только теперь Меню Скрипт выполнить скрипт находящийся в буфере обмена

И вставляем текст скрипта

ПЕРЕД ВЫПОЛНЕНИКМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!

Код
;uVS v3.73 script [http://dsrt.dyndns.org]

delall %SystemDrive%\USERS\75BB~1\APPDATA\LOCAL\TEMP\A08VSQL1.SYS
delall %SystemDrive%\USERS\75BB~1\APPDATA\LOCAL\TEMP\ESIHDRV.SYS
delall %SystemDrive%\USERS\75BB~1\APPDATA\LOCAL\TEMP\H3UWYUY7.SYS
regt 1
regt 2
regt 3
regt 7
regt 12
regt 18
deltmp
delnfr
restart

И жмем выполнить.
ПК перезагрузится.
 
sunseterry
sunseterry
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 19.01.2012
Размещено 19.01.2012 12:39:52
Сделал все по инструкции. Проблема осталась, все также находит Win32/Corkow.A в explorer.exe
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 19.01.2012 12:41:20
Вот такой лог выполните
http://forum.esetnod32.ru/forum9/topic682/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.01.2012 12:55:50
Цитата
sunseterry пишет:
Сделал все по инструкции. Проблема осталась, все также находит Win32/Corkow.A в explorer.exe
+
еще посмотрите в реестре следующие записи
Цитата
The trojan may set the following Registry entries:

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
   lanmanserver\parameters]
   "ServiceDll" = "%commonprogramfiles%\microsoft
   shared\%variable1%.%variable2%"
   [HKEY_CURRENT_USER\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\
   InprocServer32]
   "Default" = "%appdata%\Microsoft
   Corporation\%variable1%.%variable2%"

This way the trojan ensures that the file is executed on every system start.
какое значение параметра "default" прописано для выделенной области реестра.
[ Как создать образ автозапуска? ]
 
sunseterry
sunseterry
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 19.01.2012
Размещено 19.01.2012 12:58:25
Готово.
Изменено: sunseterry - 19.01.2012 12:58:40
 
sunseterry
sunseterry
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 19.01.2012
Размещено 19.01.2012 13:02:28
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
lanmanserver\parameters]
"ServiceDll" = "%SystemRoot%\system32\srvsvc.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\
InprocServer32]
"Default" = "%AppData%\Microsoft Corporation\kbdaseln.aut"
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.01.2012 14:09:05
этот файл посмотрите на диске и проверьте на http://virustotal.com
Цитата
%AppData%\Microsoft Corporation\kbdaseln.aut
возможно, полный путь будет такой
Цитата
C:\USERS\75BB~1\APPDATA\Microsoft Corporation\kbdaseln.aut
Изменено: santy - 19.01.2012 14:20:15
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему