Форум esetnod32.ru [тема: модифицированный Win32/Corkow] http://forum.esetnod32.ru Новое в теме модифицированный Win32/Corkow форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sat, 02 May 2026 21:21:48 +0300 модифицированный Win32/Corkow модифицированный Win32/Corkow в форуме Обнаружение вредоносного кода и ложные срабатывания.
Спасибо за помощь. Архив с ZOO услал по адресам. Думаю тему можно прикрыть.
10.01.2012 13:27:19, Blackfish.]]> http://forum.esetnod32.ru/messages/forum6/topic3528/message29455/ http://forum.esetnod32.ru/messages/forum6/topic3528/message29455/ Tue, 10 Jan 2012 13:27:19 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Corkow модифицированный Win32/Corkow в форуме Обнаружение вредоносного кода и ложные срабатывания.
да, удалите только этот объект

====quote====
Registry Keys Detected: 1
HKLM\SOFTWARE\Microsoft\SDKhlpUser (Password.Stealer) -> No action taken.
=============
далее,
выполните наши рекомендации
10.01.2012 12:45:06, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3528/message29453/ http://forum.esetnod32.ru/messages/forum6/topic3528/message29453/ Tue, 10 Jan 2012 12:45:06 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Corkow модифицированный Win32/Corkow в форуме Обнаружение вредоносного кода и ложные срабатывания.
После выполнения скрипта Нод перестал обнаруживать вирус.
Результат выполнения сканирования в малваребайт во вложении. Второй зараженнный объект случайно не по ошибке пометил? ключик связанный с Microsoft\Security Center|Updates.
mbam-log-2012-01-10 (12-26-51).txt
10.01.2012 12:35:37, Blackfish.]]> http://forum.esetnod32.ru/messages/forum6/topic3528/message29451/ http://forum.esetnod32.ru/messages/forum6/topic3528/message29451/ Tue, 10 Jan 2012 12:35:37 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Corkow модифицированный Win32/Corkow в форуме Обнаружение вредоносного кода и ложные срабатывания.
сделайте дополнительно проверку системы в малваребайт
10.01.2012 10:31:30, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3528/message29441/ http://forum.esetnod32.ru/messages/forum6/topic3528/message29441/ Tue, 10 Jan 2012 10:31:30 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Corkow модифицированный Win32/Corkow в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

====code==== 

;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\OLOFINSKAJAEV\APPLICATION DATA\MICROSOFT CORPORATION\NMMF._QI
addsgn 79A853921D1F5241CB57569C1BC05286DDEE800362F575787AB7E1ACAFA25540CB0B3CA8C13F9C11E98C84F5457C49907D37E38DAA2535EC59675B5BE30ADD07 8 Corkow.A [NOD32]

bl C474C8AEC93E45C139390C1C4C67DC33 434176
delall %SystemDrive%\DOCUMENTS AND SETTINGS\OLOFINSKAJAEV\APPLICATION DATA\MICROSOFT CORPORATION\NMMF._QI
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
chklst
delvir

deltmp
delnfr
restart
=============

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту support@esetnod32.ru, sendvirus2011@gmail.com
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
10.01.2012 10:30:48, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3528/message29440/ http://forum.esetnod32.ru/messages/forum6/topic3528/message29440/ Tue, 10 Jan 2012 10:30:48 +0400 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/Corkow модифицированный Win32/Corkow в форуме Обнаружение вредоносного кода и ложные срабатывания.
Nod выдает следующую ошибку при запуске:

====quote====
Оперативная память » explorer.exe(1144) - модифицированный Win32/Corkow.A троянская программа - очистка невозможна
=============
Лог uVS прикреплен.
K80BUH0_2012-01-10_10-02-19.7z
10.01.2012 10:10:41, Blackfish.]]> http://forum.esetnod32.ru/messages/forum6/topic3528/message29434/ http://forum.esetnod32.ru/messages/forum6/topic3528/message29434/ Tue, 10 Jan 2012 10:10:41 +0400 Обнаружение вредоносного кода и ложные срабатывания