�� esetnod32.ru [��: �� Win32/Corkow]

�� Win32/Corkow

Mon, 06 Feb 2012 18:35:17 +0400

�� Win32/Corkow explorer.exe(1360) �� Win32/Corkow � �� .
�� ,
�� ,
�� ,
�� uVS �� .
(�� , �� .)
06.02.2012 18:35:17, santy.

�� Win32/Corkow

Mon, 06 Feb 2012 18:04:57 +0400

�� Win32/Corkow explorer.exe(1360) �� Win32/Corkow � �� .

====quote====
alexey77 ��:
�� uVS � ��
=============
� �� uVS - �� !
� �� !
� �� !
06.02.2012 18:04:57, RP55 RP55.

�� Win32/Corkow

Mon, 06 Feb 2012 17:24:42 +0400

�� Win32/Corkow explorer.exe(1360) �� Win32/Corkow � �� .
�� uVS � �� (�� ), � �� .
nod_060212.txt
06.02.2012 17:24:42, alexey77.

�� Win32/Corkow

Mon, 06 Feb 2012 17:12:08 +0400

�� Win32/Corkow explorer.exe(1360) �� Win32/Corkow � �� .

====quote====
alexey77 ��:
��
=============
�� .
1) �� uVS
+
��
http://forum.esetnod32.ru/forum9/topic1408/
06.02.2012 17:12:08, RP55 RP55.

�� Win32/Corkow

Mon, 06 Feb 2012 17:04:27 +0400

�� Win32/Corkow explorer.exe(1360) �� Win32/Corkow � �� .
��
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delall %SystemDrive%\DOCUMENTS AND SETTINGS\HRISTININA\APPLICATION DATA\LBISOV.EXE
delall F:\MENINIKO\NETREBA.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HRISTININA\APPLICATION DATA\QMKIN.EXE
deltmp
delnfr
regt 5
regt 12
restart

�� ZOO ��, � �� uvs �� .
� NOD4 � �� :
�� , �� - �� RD-PONOMAREVA: �� explorer.exe(600) �� Win32/Corkow.A �� .
2012-02-06_16-53-57_log.txt
06.02.2012 17:04:27, alexey77.

�� Win32/Corkow

Fri, 03 Feb 2012 14:19:30 +0400

�� Win32/Corkow explorer.exe(1360) �� Win32/Corkow � �� .

====quote====
alexey77 ��:
�� .
�� 3 ��. �� ?
�� . �� - ��.
�� !
=============
�� , �� .
03.02.2012 14:19:30, santy.

�� Win32/Corkow

Fri, 03 Feb 2012 14:03:30 +0400

�� Win32/Corkow explorer.exe(1360) �� Win32/Corkow � �� .
�� .
�� 3 ��. �� ?
�� . �� - ��.
�� !
2012-02-03_13-57-40_log.txt
03.02.2012 14:03:30, alexey77.

�� Win32/Corkow

Thu, 02 Feb 2012 17:02:19 +0400

�� Win32/Corkow explorer.exe(1360) �� Win32/Corkow � �� .
�� uVS
- �� ;
- �� uVS(start.exe), �� : �� , �� - �� - �� ;
- �� ;
====code====

;uVS v3.74 script [http://dsrt.dyndns.org]   
;Target OS: NTv5.1

delall %SystemDrive%\DOCUMENTS AND SETTINGS\HRISTININA\APPLICATION DATA\LBISOV.EXE
delall F:\MENINIKO\NETREBA.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HRISTININA\APPLICATION DATA\QMKIN.EXE
deltmp
delnfr
regt 5
regt 12
restart

=============
��, �� .
�� (��: 2010-10-04_13-30-55.rar/7z) �� uVS �� sendvirus2011@gmail.com
�� ,
�� ZOO (� �� ) � �� infected
----------
��,
�� ��  � Malwarebytes
02.02.2012 17:02:19, santy.

�� Win32/Corkow

Thu, 02 Feb 2012 16:58:21 +0400

�� Win32/Corkow explorer.exe(1360) �� Win32/Corkow � �� .
�� Corkow, �� .

====quote====
26.01.2012 10:50:34 �� C:\Program Files\sm45\GMapCache\zbpvwm.exe �� Win32/Tifaut.C �� - �� NT AUTHORITY\SYSTEM �� : C:\WINDOWS\explorer.exe.
=============
�� .
02.02.2012 16:58:21, santy.

�� Win32/Corkow

Thu, 02 Feb 2012 16:45:58 +0400

�� Win32/Corkow explorer.exe(1360) �� Win32/Corkow � �� .
�� uVS � �� , �� .
�� .
RD-PONOMAREVA-N_2012-01-31_17-35-00.7z
threat_from_nod.txt
02.02.2012 16:45:58, alexey77.

�� Win32/Corkow

Tue, 31 Jan 2012 12:39:14 +0400

�� Win32/Corkow explorer.exe(1360) �� Win32/Corkow � �� .
+
��
http://forum.esetnod32.ru/forum9/topic1408/
31.01.2012 12:39:14, santy.

�� Win32/Corkow

Tue, 31 Jan 2012 12:29:47 +0400

�� Win32/Corkow explorer.exe(1360) �� Win32/Corkow � �� .
alexey77,
��

====quote====
--------------------------------------------------------
(!) �� : [�� . ]
HKEY_USERS\S-1-5-19\Environment
(!) �� : [�� . ]
HKEY_USERS\S-1-5-19\Environment
(!) �� : [�� . ]
HKEY_USERS\S-1-5-19\Environment
(!) �� : [�� . ]
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
(!) �� : [�� . ]
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
(!) �� : [�� . ]
HKEY_USERS\S-1-5-19_Classes
(!) �� : [�� . ]
HKEY_USERS\S-1-5-20\Environment
(!) �� : [�� . ]
HKEY_USERS\S-1-5-20\Environment
(!) �� : [�� . ]
HKEY_USERS\S-1-5-20\Environment
(!) �� : [�� . ]
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
(!) �� : [�� . ]
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
(!) �� : [�� . ]
HKEY_USERS\S-1-5-20_Classes
�� : 0
�� ...
�� : C:\PROGRAM FILES\REALVNC\VNC4\WM_HOOKS.DLL
�� ...
(!) �� : [�� . ]
HKLM\System\CurrentControlSet\Services\HealthService\Parameters
(!) �� : [�� . ]
HKLM\System\CurrentControlSet\Services\TlntSvr
(!) �� : [�� . ]
HKLM\System\CurrentControlSet\Services\WmiApRpl
(!) �� : [�� . ]
HKLM\System\CurrentControlSet\Services\WmiApRpl\Performance
��
��
(!) �� : [�� . ]
HKEY_USERS\S-1-5-19
(!) �� : [�� . ]
HKEY_USERS\S-1-5-20
(!) �� : [�� . ]
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\ShellNoRoam\MUICache
(!) �� : [�� . ]
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\ShellNoRoam\MUICache
�� ...
(!) �� #0, �� !
�� ...
�� : \DEVICE\WINDFS\ROOT\RDHOLDING.RU\SYSVOL\RDHOLDING.RU\POLICIES\{9D0A5C91-7D77-425D-96E5-7D62D49F6088}\USER\SCRIPTS\LOGON\HRDPBN.EXE
�� : C:\WINDOWS\SYSTEM32\PSXSS.EXE
�� : C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_ATAPI.SYS
�� : C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_WMILIB.SYS
�� .
�� .
(!) �� : [�� . ]
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
(!) �� : [�� . ]
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
(!) �� : [�� . ]
HKLM\Software\Microsoft\Windows\CurrentVersion\BITS
��
��
=============

31.01.2012 12:29:47, ��.

�� Win32/Corkow

Tue, 31 Jan 2012 12:24:49 +0400

�� Win32/Corkow explorer.exe(1360) �� Win32/Corkow � �� .
��.
RD-PONOMAREVA-N_2012-01-31_12-19-56.7z
31.01.2012 12:24:49, alexey77.

�� Win32/Corkow

Tue, 31 Jan 2012 11:21:54 +0400

�� Win32/Corkow explorer.exe(1360) �� Win32/Corkow � �� .
�� uVS
http://forum.esetnod32.ru/forum9/topic2687/
�� uVS �� .3.73.2
��
http://rghost.ru/users/santy/releases/utilitiesLiveCd
31.01.2012 11:21:54, santy.

�� Win32/Corkow

Tue, 31 Jan 2012 11:13:43 +0400

�� Win32/Corkow explorer.exe(1360) �� Win32/Corkow � �� .
�� NOD:
�� , �� - �� RD-PONOMAREVA: �� explorer.exe(1360) �� Win32/Corkow.A �� .
30.01.2012 9:02:14 - �� , �� - �� RD-PONOMAREVA: �� explorer.exe(1360) �� Win32/Corkow.A �� .

�� AVZ � MBAM. �� (�� , �� , �� ).
virusinfo_syscheck.zip
virusinfo_syscure.zip
mbam-log-2012-01-23 (17-18-48).txt
31.01.2012 11:13:43, alexey77.

����� esetnod32.ru [����: ���������������� Win32/Corkow]

���������������� Win32/Corkow

���������������� Win32/Corkow

���������������� Win32/Corkow

���������������� Win32/Corkow

���������������� Win32/Corkow

���������������� Win32/Corkow

���������������� Win32/Corkow

���������������� Win32/Corkow

���������������� Win32/Corkow

���������������� Win32/Corkow

���������������� Win32/Corkow

���������������� Win32/Corkow

���������������� Win32/Corkow

���������������� Win32/Corkow

���������������� Win32/Corkow

�� esetnod32.ru [��: �� Win32/Corkow]

�� Win32/Corkow

�� Win32/Corkow

�� Win32/Corkow

�� Win32/Corkow

�� Win32/Corkow

�� Win32/Corkow

�� Win32/Corkow

�� Win32/Corkow

�� Win32/Corkow

�� Win32/Corkow

�� Win32/Corkow

�� Win32/Corkow

�� Win32/Corkow

�� Win32/Corkow

�� Win32/Corkow