Форум esetnod32.ru [тема: vchost.exe(1420) - модифицированный Win32/Corkow.A] http://forum.esetnod32.ru Новое в теме vchost.exe(1420) - модифицированный Win32/Corkow.A форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 30 Apr 2026 06:50:09 +0300 vchost.exe(1420) - модифицированный Win32/Corkow.A vchost.exe(1420) - модифицированный Win32/Corkow.A в форуме Обнаружение вредоносного кода и ложные срабатывания.
1. не надо избыточно цитировать мои сообщения, все и так ясно.
2. создайте новый образ автозапуска в uVS
25.01.2012 16:31:38, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3759/message31084/ http://forum.esetnod32.ru/messages/forum6/topic3759/message31084/ Wed, 25 Jan 2012 16:31:38 +0400 Обнаружение вредоносного кода и ложные срабатывания vchost.exe(1420) - модифицированный Win32/Corkow.A vchost.exe(1420) - модифицированный Win32/Corkow.A в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
выполнить скрипт в uVS

скопировать содержимое кода в буфер обмена

uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

закрыть браузеры перед выполнением скрипта



====code==== 
 
;uVS v3.73.1 script [http://dsrt.dyndns.org]

addsgn A7679B1110660406025746BE11E87804CE9BCF360A025F078D8346440AAA84A72E7DC3A84B45623C23684661B9E923FB25822A7E55B0B3462D1DA4C777F8DD8C 8 corkow.A

zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\ICFLIB.NS4
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\ICFLIB.NS4
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delall %Sys32%\SYSUSER\SYSTEM.EXE
deltmp
delnfr
restart
=============



перезагрузка, пишем о старых и новых проблемах.



архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)

отправить в почту support@esetnod32.ru, sendvirus2011@gmail.com

если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
=============
Все сделал, после перезагрузки НОД32 опять нашел его в памяти:
Оперативная память » svchost.exe(1420) - модифицированный Win32/Corkow.A троянская программа - очистка невозможна
Оперативная память » svchost.exe(1580) - модифицированный Win32/Corkow.A троянская программа - очистка невозможна
Оперативная память » svchost.exe(1584) - модифицированный Win32/Corkow.A троянская программа - очистка невозможна
Оперативная память » svchost.exe(1588) - модифицированный Win32/Corkow.A троянская программа - очистка невозможна
25.01.2012 15:23:49, sliver.]]> http://forum.esetnod32.ru/messages/forum6/topic3759/message31081/ http://forum.esetnod32.ru/messages/forum6/topic3759/message31081/ Wed, 25 Jan 2012 15:23:49 +0400 Обнаружение вредоносного кода и ложные срабатывания vchost.exe(1420) - модифицированный Win32/Corkow.A vchost.exe(1420) - модифицированный Win32/Corkow.A в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

====code==== 

;uVS v3.73.1 script [http://dsrt.dyndns.org]

addsgn A7679B1110660406025746BE11E87804CE9BCF360A025F078D8346440AAA84A72E7DC3A84B45623C23684661B9E923FB25822A7E55B0B3462D1DA4C777F8DD8C 8 corkow.A

zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\ICFLIB.NS4
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\ICFLIB.NS4
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delall %Sys32%\SYSUSER\SYSTEM.EXE
deltmp
delnfr
restart
=============

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту support@esetnod32.ru, sendvirus2011@gmail.com
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
24.01.2012 17:45:49, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic3759/message30976/ http://forum.esetnod32.ru/messages/forum6/topic3759/message30976/ Tue, 24 Jan 2012 17:45:49 +0400 Обнаружение вредоносного кода и ложные срабатывания vchost.exe(1420) - модифицированный Win32/Corkow.A vchost.exe(1420) - модифицированный Win32/Corkow.A в форуме Обнаружение вредоносного кода и ложные срабатывания.
хотя тут видно что запускается из HKLM\System\CurrentControlSet\Services\LanmanServer\Paramete­rs\ServiceDLL
24.01.2012 17:37:30, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic3759/message30975/ http://forum.esetnod32.ru/messages/forum6/topic3759/message30975/ Tue, 24 Jan 2012 17:37:30 +0400 Обнаружение вредоносного кода и ложные срабатывания vchost.exe(1420) - модифицированный Win32/Corkow.A vchost.exe(1420) - модифицированный Win32/Corkow.A в форуме Обнаружение вредоносного кода и ложные срабатывания.
Оперативная память » svchost.exe(1420) - модифицированный Win32/Corkow.A троянская программа - очистка невозможна
образ автозапуска системы в uVS прилагаю.
WS12-2_2012-01-24_17-19-56.7z
24.01.2012 17:29:36, sliver.]]> http://forum.esetnod32.ru/messages/forum6/topic3759/message30973/ http://forum.esetnod32.ru/messages/forum6/topic3759/message30973/ Tue, 24 Jan 2012 17:29:36 +0400 Обнаружение вредоносного кода и ложные срабатывания