Форум esetnod32.ru [тема: win32/Corkow.L]

Форум esetnod32.ru [тема: win32/Corkow.L] http://forum.esetnod32.ru Новое в теме win32/Corkow.L форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Fri, 01 May 2026 17:16:45 +0300 win32/Corkow.L win32/Corkow.L C:\Program Files\Common Files\Services\broh.usp win32/Corkow.L в форуме Обнаружение вредоносного кода и ложные срабатывания.
запустите рег файл из архива, нажмите Да и перезагрузитесь. после этого проверьте что с проблемой.[FILE ID=92135]
corkow.zip
27.05.2013 23:52:28, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic9498/message68088/ http://forum.esetnod32.ru/messages/forum6/topic9498/message68088/ Mon, 27 May 2013 23:52:28 +0400 Обнаружение вредоносного кода и ложные срабатывания win32/Corkow.L win32/Corkow.L C:\Program Files\Common Files\Services\broh.usp win32/Corkow.L в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
у вас похоже, служба LanmanServer удалена. есть точки восстановления до удаления трояна?
=============
Нет. Точек восстановления нет. Что теперь делать с этим?
27.05.2013 23:47:03, Furick.]]> http://forum.esetnod32.ru/messages/forum6/topic9498/message68086/ http://forum.esetnod32.ru/messages/forum6/topic9498/message68086/ Mon, 27 May 2013 23:47:03 +0400 Обнаружение вредоносного кода и ложные срабатывания win32/Corkow.L win32/Corkow.L C:\Program Files\Common Files\Services\broh.usp win32/Corkow.L в форуме Обнаружение вредоносного кода и ложные срабатывания.
этого файла вообще нет в образе

====quote====
Полное имя C:\WINDOWS\SYSTEM32\SRVSVC.DLL
Имя файла SRVSVC.DLL
Статус АКТИВНЫЙ ИЗВЕСТНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
File_Id 4C7753021B000
Linker 7.10
Размер 99840 байт
Создан 15.04.2008 в 05:00:00
Изменен 27.08.2010 в 12:54:10
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась

Оригинальное имя SRVSVC.DLL
Версия файла 5.1.2600.6031 (xpsp_sp3_gdr.100826-1646)
Версия продукта 5.1.2600.6031
Описание Server Service DLL
Продукт Microsoft® Windows® Operating System
Copyright © Microsoft Corporation. All rights reserved.
Производитель Microsoft Corporation

Процессы на момент обновления списка
Процесс C:\WINDOWS\SYSTEM32\SVCHOST.EXE

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\ServiceDLL
ServiceDLL %SystemRoot%\System32\srvsvc.dll

=============

24.05.2013 16:19:08, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9498/message67990/ http://forum.esetnod32.ru/messages/forum6/topic9498/message67990/ Fri, 24 May 2013 16:19:08 +0400 Обнаружение вредоносного кода и ложные срабатывания win32/Corkow.L win32/Corkow.L C:\Program Files\Common Files\Services\broh.usp win32/Corkow.L в форуме Обнаружение вредоносного кода и ложные срабатывания.
у вас похоже, служба LanmanServer удалена. есть точки восстановления до удаления трояна?
24.05.2013 16:15:49, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9498/message67989/ http://forum.esetnod32.ru/messages/forum6/topic9498/message67989/ Fri, 24 May 2013 16:15:49 +0400 Обнаружение вредоносного кода и ложные срабатывания win32/Corkow.L win32/Corkow.L C:\Program Files\Common Files\Services\broh.usp win32/Corkow.L в форуме Обнаружение вредоносного кода и ложные срабатывания.
Удален 22 числа вирус был некорректно. После удаления перестала работать локальная сеть. Что-бы решить проблему я восстановил троян из карантина. Сейчас опять придется удалить его. http://rghost.ru/46223671 вот логи.
24.05.2013 16:03:02, Furick.]]> http://forum.esetnod32.ru/messages/forum6/topic9498/message67988/ http://forum.esetnod32.ru/messages/forum6/topic9498/message67988/ Fri, 24 May 2013 16:03:02 +0400 Обнаружение вредоносного кода и ложные срабатывания win32/Corkow.L win32/Corkow.L C:\Program Files\Common Files\Services\broh.usp win32/Corkow.L в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
24.05.2013 11:16:34 Защита в режиме реального времени файл C:\Program Files\Common Files\Services\broh.ups Win32/Corkow.L троянская программа GBUH\GBUser Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\explorer.exe.
22.05.2013 8:39:46 Модуль сканирования файлов, исполняемых при запуске системы файл C:\Program Files\Common Files\Services\broh.ups Win32/Corkow.L троянская программа удален - изолирован

=============
антивир можно временно отключить, и сделайте новый образ автозапуска.
24.05.2013 15:38:25, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9498/message67986/ http://forum.esetnod32.ru/messages/forum6/topic9498/message67986/ Fri, 24 May 2013 15:38:25 +0400 Обнаружение вредоносного кода и ложные срабатывания win32/Corkow.L win32/Corkow.L C:\Program Files\Common Files\Services\broh.usp win32/Corkow.L в форуме Обнаружение вредоносного кода и ложные срабатывания.
http://rghost.ru/private/46220907/1edb994a9d88cc38ebda9bf1c7cd9a14 лог журнала. Файл из карантина восстановлен, жду ваших указаний.
24.05.2013 14:04:07, Furick.]]> http://forum.esetnod32.ru/messages/forum6/topic9498/message67984/ http://forum.esetnod32.ru/messages/forum6/topic9498/message67984/ Fri, 24 May 2013 14:04:07 +0400 Обнаружение вредоносного кода и ложные срабатывания win32/Corkow.L win32/Corkow.L C:\Program Files\Common Files\Services\broh.usp win32/Corkow.L в форуме Обнаружение вредоносного кода и ложные срабатывания.
добавьте лог журнала обнаруженных угроз
http://forum.esetnod32.ru/forum9/topic1408/

+
вариант, восстановите из карантина удаленный файл, пролечим систему скриптом.
24.05.2013 13:52:46, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9498/message67982/ http://forum.esetnod32.ru/messages/forum6/topic9498/message67982/ Fri, 24 May 2013 13:52:46 +0400 Обнаружение вредоносного кода и ложные срабатывания win32/Corkow.L win32/Corkow.L C:\Program Files\Common Files\Services\broh.usp win32/Corkow.L в форуме Обнаружение вредоносного кода и ложные срабатывания.
Все программы внезапно закрылись, компьютер перезагрузился. После удаления перестала работать локальная сеть. Интернет по прежнему работает. http://clip2net.com/s/575KV1 - скриншот угрозы. http://rghost.ru/46218468 - логи.
24.05.2013 12:11:29, Furick.]]> http://forum.esetnod32.ru/messages/forum6/topic9498/message67979/ http://forum.esetnod32.ru/messages/forum6/topic9498/message67979/ Fri, 24 May 2013 12:11:29 +0400 Обнаружение вредоносного кода и ложные срабатывания