Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] модифицированный Win32/Corkow , explorer.exe(1360) заражен модифицированный Win32/Corkow

RSS
 
alexey77
alexey77
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 31.01.2012
Размещено 31.01.2012 11:13:43
Получаю такие сообщения от NOD:
Модуль Модуль сканирования файлов, исполняемых при запуске системы - Предупреждение об угрозе на RD-PONOMAREVA:  Оперативная память » explorer.exe(1360) заражен модифицированный Win32/Corkow.A троянская программа.
30.01.2012 9:02:14 - Модуль Модуль сканирования файлов, исполняемых при запуске системы - Предупреждение об угрозе на RD-PONOMAREVA:  Оперативная память » explorer.exe(1360) заражен модифицированный Win32/Corkow.A троянская программа.

Проверялся AVZ и MBAM. Логи прилагаю (от разных дат, он с тех пор ничего не изменилось, компом к сожалению некогда было заниматься).

Ответы

Пред. 1 2
 
alexey77
alexey77
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 31.01.2012
Размещено 06.02.2012 17:04:27
Выкладываю результаты сегодняшнего выполнения скрипта
;uVS v3.74 script [http://dsrt.dyndns.org]  
;Target OS: NTv5.1

delall %SystemDrive%\DOCUMENTS AND SETTINGS\HRISTININA\APPLICATION DATA\LBISOV.EXE
delall F:\MENINIKO\NETREBA.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HRISTININA\APPLICATION DATA\QMKIN.EXE
deltmp
delnfr
regt 5
regt 12
restart

папки ZOO нет, а из uvs написало что нет ничего для выгрузки.
в NOD4 в пятницу прислал такое сообщение:
Модуль Модуль сканирования файлов, исполняемых при запуске системы - Предупреждение об угрозе на RD-PONOMAREVA:  Оперативная память » explorer.exe(600) заражен модифицированный Win32/Corkow.A троянская программа.
Изменено: alexey77 - 06.02.2012 17:06:03 (добавление информации)
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 06.02.2012 17:12:08
Цитата
alexey77 пишет:
Выкладываю результаты сегодняшнего выполнения скрипта
Вы бы его ещё через год выполнили.
1) Делаем новый лог в uVS
+
Добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
 
alexey77
alexey77
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 31.01.2012
Размещено 06.02.2012 17:24:42
Так лог же в uVS я только сделал (раньше не мог), а лог журнала угроз прилагаю.
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 06.02.2012 18:04:57
Цитата
alexey77 пишет:
Так лог же в uVS я только сделал
Я имею ввиду новый образ uVS - Сделанный как и первый в безопасном режиме !
А не лог выполнения скрипта !
В данном случае скрипты нужно выполнять из безопасного режима !
Изменено: RP55 RP55 - 06.02.2012 18:19:31
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 06.02.2012 18:35:17
скорее всего,
все уже благополучно завершилось,
последняя угроза датирована двумя неделями назад,
новый образ в uVS нужен под администратором для контроля.
(или не нужен, поскольку лечение завершено.)
[ Как создать образ автозапуска? ]
 
Пред. 1 2
Читают тему