Показать сообщение отдельно

Активное заражение памяти (Win32/Corkow.AE)
Старый 11.08.2014, 12:50   #1
Форумчанин
 
Регистрация: 27.03.2012
Сообщений: 115

xyligan вне форума

Активное заражение памяти (Win32/Corkow.AE)


Приветствую форумчан.
Работаю в офисе, есть рабочий средненький комп, ушёл в отпуск на пару недель, вызвали на работу отчёт сварганить, прихожу на работу комп выдаёт ошибку в файле svchost.exe при выключении о переполнении оперативной памяти.
Никто ничего не делал, на работе молчат все как партизаны.
Проверил автозагрузку, всё чисто.
Установлен NOD32, подозрение на вирус всё равно осталось, проверил весь комп. Инфекции не обнаружено. Поскольку торопился решил через несколько дней посмотреть позднее в реестре, может какой драйвер глючит.
Прошло три дня. Вызвали на работу из отпуска снова, сломался принтер.
Включил комп, NOD32 обновился и внезапно обнаружил в оперативной памяти вирусняк.

Модуль сканирования файлов, исполняемых при запуске системы
файл Оперативная память = svchost.exe(1364) модифицированный Win32/Corkow.AE троянская программа
очищен удалением HOME-C2E0C4F179\User
Просканировал глубокой проверкой комп, опять заразы нет.

Вроде всё очистил, ну и хорошо думаю проблема решена. Выключил комп, опять ошибка, включил комп всё нормально загрузилось и снова предупреждение что в оперативной памяти вирусняк и что снова он изолирован.
Пересмотрел разные пути возможного нахождения, поискал скрытые файлы. Ничего не нашёл. Решил наиболее простыми методами проверить.

Проверил полное сканирование компа последней версией Dr.Web CureIt! и Kaspersky Virus Removal Tool, а также Avira PC Cleaner поиск не дал никаких результатов.

Ничего в голову не приходило где может быть зараза. В инсталяхах валялся портативный Malwarebytes Anti-Malware 2.02
Дай думаю гляну и ним.
Через две минуты после сканирования результат.
результате сканирования обнаружен зловред - HiJack.LanmanServer

Гадость сидела в данных реєстра

HKLM/System/Currentcontrolset/Services/Lanmanserver/Parameters|ServiceDll

Malwarebytes Anti-Malware запросил перезагрузку, после перезагрузки объект помещён в карантин.
При последующих выключениях и включениях компа никаких ошибок небыло и сообщений не появлялось.
Скриншотов по данной операции к сожалению сохранить не успел.
Привёл реальный случай из практики. Возможно кому-то поможет такая информация в будущем.
  Ответить с цитированием
4 пользователя(ей) сказали cпасибо:
 
Яндекс.Метрика