[QUOTE]Арвид пишет:
у меня тоже уже полно образов собралось (порядка 700 шт.), даже не знаю зачем храню. Corkow тоже есть конечно же, но отбирать нереально  [/QUOTE]
а я сортирую образы по типам заражений: Carberp, Corkow, Spy.Shiz и т.п. - чтобы можно было при случае глянуть основное инфо по вирусякам.

[QUOTE]Арвид пишет:
Сам Corkow что из себя представляет? Библиотеку или исполняемый файл? Можно брать экземпляры и смотреть их поведение на ВМ[/QUOTE]
[B]Арвид[/B], здесь полно тем с заражением Corkow.
Я отобрал себе все образы по Corkow какие у меня есть,
отсортировал по типам старта:
LanmanServer,
ShellServiceObjectDelayLoad
и третий, неизвестный,
потому и разбираюсь с третьим случаем, что он в последнее время наиболее часто встречается.

Мы с [B]Арвидом[/B] и [B]ZloyDi[/B] сильно задействованы в лечении активного заражения, поэтому времени на анализ меньше чем.
Поэтому, подключайся в анализ вредоносного кода. Хотя бы на уровне: файлы, реестр, поведение.

ждем [URL=http://forum.esetnod32.ru/forum9/topic2687/]образ автозапуска.[/URL]
+лог журнала [URL=http://forum.esetnod32.ru/forum9/topic1408/]обнаружения угроз[/URL]

и да, просьба по Corkow не спешить с лечением, а по возможности, полностью прояснить третий вариант: откуда стартует троянская dll.

продолжение.
ключ в HKCU проверяется в uVS в том случае, если троян стартует из
[QUOTE]HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SysTray[/QUOTE]
uVS проверяет этот ключ,
потому и видит вторую ссылку
[QUOTE]HKEY_USERS\S-1-5-21-1606980848-2146945071-1801674531-1004_Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\[/QUOTE]
в модифицированном случае:
либо тр. в явно не прописан systray,
либо прописан в параметре systray, но ключ этот скрыт;
либо стартует из другого параметра.
либо имеет место переопределение CLSID соответствующее объекту systray.
----------
потому, предлагаю использовать bat-файл для сбора инфо о реестре из приложения.

здесь может две стратегии:
либо закидывать сети с помощью adddir,
либо изучать поведение конкретного трояна (файлы, ключи в реестре, способы автозапуска), если какие-либо его варианты не попадают в образ автозапуска, и вносить предложение по дальнейшему развитию детекта в uVS.

[b]выполнить скрипт в uVS[/b]
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

[code]

;uVS v3.73.1 script [http://dsrt.dyndns.org]

addsgn A7679BF0AA02A4C00BC4C6E549C80261848AFCF689AA7BF1A0C3C5BC5055­9D14704194DE5BBD625C7B30848F75C4C32EF4CAE06150CA3BE4AC965B2F­C706AB7E 8 tr

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\0.5992646499010562.EXE
bl C27728AD5E00A97701BC3108F6965670 311296
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\0.5992646499010562.EXE
chklst
delvir
deltmp
delnfr
regt 12
restart

[/code]

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

сделайте [URL=http://forum.esetnod32.ru/forum9/topic1408/]лог журнала обнаруженных угроз[/URL]

исправил сообщение по ходу
-------------
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]проверку системы в малваребайт[/URL]