добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

чисто, тему закрываю.

здесь все ок, тему закрываю.

здесь все ок. тему закрываю.

корков был удален вышел

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.83 BETA 14 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]

delref {DBC80044-A445-435B-BC74-9C25C1C588A9}\[CLSID]

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.

с LanmanServer действительно все в порядке, я просто привел для примера: какие варианты заражения используется установщик Corkow в зависимости от прав доступа.

в данном образе ссылка идет на
[QUOTE]HKEY_USERS\S-1-5-21-2604538840-902460427-3063090256-3153_Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\[/QUOTE]
да, надо бы поправить в инструкции.
там на рисунке в режима запуска указывается, что если текущий пользователь не является администратором, тогда необходимо выбрать учетную запись с правами админа.

[IMG]http://chklst.ru/forum/docs/start1.jpg[/IMG]

хм, здесь образ получен не под учетной записью администратора? или реестр и прямой доступ к диску и защищен так хорошо?

[QUOTE](!) Не удалось получить прямой доступ к физическому диску #0, возможно в системе активен руткит!

(!) Не удалось открыть ключ: [Отказано в доступе. ][/QUOTE]

и образ, и выполнение скрипта надо выполнять с правами администратора. заметил, что и в двух других образах аналогичная картина. Выходит троян обошел ограничение, и модифицировал CLSID
[QUOTE]HKEY_USERS\S-1-5-21-2604538840-902460427-3063090256-4129_Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\[/QUOTE]
чаще всего подменяет службу в LanmanServer
[QUOTE]HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\ServiceDLL[/QUOTE]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.83 BETA 14 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LCHERNIKOVA\APPLICATION DATA\DAOEU\CERSGXP_.SCS
delall %SystemDrive%\DOCUMENTS AND SETTINGS\LCHERNIKOVA\APPLICATION DATA\DAOEU\CERSGXP_.SCS
;------------------------autoscript---------------------------

chklst
delvir

delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]

delref {DBC80044-A445-435B-BC74-9C25C1C588A9}\[CLSID]

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru  
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

да, вирлабу  думаю это интересно будет, адрес надо добавить в черный список, возможно к серверу управления идет обращение.

Corkow - технологичный троян.
http://habrahabr.ru/company/eset/blog/214197/

выполните наши рекомендации по зараженным машинам.
http://forum.esetnod32.ru/forum9/topic3998/