Вернуться   Другой Форум про антивирусы и софт - Norton, Касперский, ESET, Windows > Безопасность системы > Обсуждение антивирусов и файерволов
Войти через профиль в соц. сети
Регистрация Справка Правила Помощь форуму Пользователи Календарь Статистика Все разделы прочитаны
Обсуждение антивирусов и файерволов Обсуждения и сравнения антивирусных программ и файерволов, раздел допускает наличие флуда и свободного общения в рамках приличия

Ответ
Старый 11.08.2014, 12:50   #1
Форумчанин
 
Регистрация: 27.03.2012
Сообщений: 115

xyligan вне форума

Активное заражение памяти (Win32/Corkow.AE)


Приветствую форумчан.
Работаю в офисе, есть рабочий средненький комп, ушёл в отпуск на пару недель, вызвали на работу отчёт сварганить, прихожу на работу комп выдаёт ошибку в файле svchost.exe при выключении о переполнении оперативной памяти.
Никто ничего не делал, на работе молчат все как партизаны.
Проверил автозагрузку, всё чисто.
Установлен NOD32, подозрение на вирус всё равно осталось, проверил весь комп. Инфекции не обнаружено. Поскольку торопился решил через несколько дней посмотреть позднее в реестре, может какой драйвер глючит.
Прошло три дня. Вызвали на работу из отпуска снова, сломался принтер.
Включил комп, NOD32 обновился и внезапно обнаружил в оперативной памяти вирусняк.

Модуль сканирования файлов, исполняемых при запуске системы
файл Оперативная память = svchost.exe(1364) модифицированный Win32/Corkow.AE троянская программа
очищен удалением HOME-C2E0C4F179\User
Просканировал глубокой проверкой комп, опять заразы нет.

Вроде всё очистил, ну и хорошо думаю проблема решена. Выключил комп, опять ошибка, включил комп всё нормально загрузилось и снова предупреждение что в оперативной памяти вирусняк и что снова он изолирован.
Пересмотрел разные пути возможного нахождения, поискал скрытые файлы. Ничего не нашёл. Решил наиболее простыми методами проверить.

Проверил полное сканирование компа последней версией Dr.Web CureIt! и Kaspersky Virus Removal Tool, а также Avira PC Cleaner поиск не дал никаких результатов.

Ничего в голову не приходило где может быть зараза. В инсталяхах валялся портативный Malwarebytes Anti-Malware 2.02
Дай думаю гляну и ним.
Через две минуты после сканирования результат.
результате сканирования обнаружен зловред - HiJack.LanmanServer

Гадость сидела в данных реєстра

HKLM/System/Currentcontrolset/Services/Lanmanserver/Parameters|ServiceDll

Malwarebytes Anti-Malware запросил перезагрузку, после перезагрузки объект помещён в карантин.
При последующих выключениях и включениях компа никаких ошибок небыло и сообщений не появлялось.
Скриншотов по данной операции к сожалению сохранить не успел.
Привёл реальный случай из практики. Возможно кому-то поможет такая информация в будущем.
  Ответить с цитированием
4 пользователя(ей) сказали cпасибо:
re: Активное заражение памяти (Win32/Corkow.AE)
Старый 11.08.2014, 13:09   #2
Форумчанин

 
Регистрация: 22.11.2012
Адрес: г. Ташкент
Сообщений: 2 187

Alegro вне форума
По умолчанию re: Активное заражение памяти (Win32/Corkow.AE)

Добрый день! Ваше случай интересен.
В последнее время стал сталкиваться с новыми типами угроз, которые почти все сканеры не видят. Причем зараженный файл они видят, а зараженную систему этим файлом - нет. Столкнулся уже несколько раз - один раз в тесте. И МВАМ тоже не всегда видит.
Возможно появляются новые типы угроз...
P.S. Портативный МВАМ удаляет с перезагрузкой?
  Ответить с цитированием
Re: Активное заражение памяти (Win32/Corkow.AE)
Старый 11.08.2014, 13:59   #3
Форумчанин
 
Регистрация: 27.03.2012
Сообщений: 115

xyligan вне форума
По умолчанию Re: Активное заражение памяти (Win32/Corkow.AE)

Цитата:
Сообщение от Alegro Посмотреть сообщение
P.S. Портативный МВАМ удаляет с перезагрузкой?
Приветствую. Да, у меня портативный от сайта PortableApps.com запросил перезагрузку.
Что интересно я выбрал им самый первый вид быстрого сканирования.
Сам Nod32 перед сканированием МВАМ вырубал, чтоб он не мешал работе МВАМ.
Лекарство как понимаю к новым вируснякам, надо искать методом тыка через разные вендоры. Дай бог всем поменьше заразы.
  Ответить с цитированием
Пользователь сказал cпасибо:
Re: Активное заражение памяти (Win32/Corkow.AE)
Старый 11.08.2014, 14:39   #4
Форумчанин
 
Аватар для Jimimi

 
Регистрация: 26.06.2011
Адрес: Israel
Сообщений: 17 408

Jimimi вне форума
По умолчанию Re: Активное заражение памяти (Win32/Corkow.AE)

Как правило почти всегда МВАМ просит перезагрузку при удалении заразы, даже когда удаляешь ПНП.
__________________
  Ответить с цитированием
Re: Активное заражение памяти (Win32/Corkow.AE)
Старый 11.08.2014, 16:39   #5
Форумчанин

 
Регистрация: 22.11.2012
Адрес: г. Ташкент
Сообщений: 2 187

Alegro вне форума
По умолчанию Re: Активное заражение памяти (Win32/Corkow.AE)

То что МВАМ удаляет с перезагрузкой я знаю, но это портативная версия: службу не устанавливает, в автозагрузку не прописывается. Он может попросить перезагрузку, но после перезагрузки самопальные портативные версии обычно не удаляют..
  Ответить с цитированием
Re: Активное заражение памяти (Win32/Corkow.AE)
Старый 11.08.2014, 17:24   #6
Форумчанин
 
Аватар для Jimimi

 
Регистрация: 26.06.2011
Адрес: Israel
Сообщений: 17 408

Jimimi вне форума
По умолчанию Re: Активное заражение памяти (Win32/Corkow.AE)

Цитата:
Сообщение от Alegro Посмотреть сообщение
самопальные портативные версии обычно не удаляют..
Про такие не знаю и не пользуюсь.
__________________
  Ответить с цитированием
Re: Активное заражение памяти (Win32/Corkow.AE)
Старый 10.02.2016, 15:01   #7
Новичок
 
Регистрация: 10.02.2016
Сообщений: 5

Дмитрий Филимонов вне форума
По умолчанию Re: Активное заражение памяти (Win32/Corkow.AE)

как раз сегодня баянную новость видел про этот corkow
спасибо за инфу
  Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Выкл.
Pingbacks are Выкл.
Refbacks are Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Как убить файловый вирус Win32.Sector. 12. ? Mario_ Помощь / Help 24 28.06.2015 01:19
Программирование микросхем памяти gonzo Обучающее видео 0 21.06.2013 13:25
Увеличение оперативной памяти на ноутбуке Acer 5310 Дмитрий_С Железо 8 10.11.2012 23:31
Заражение. Вакцина для двоих. Коллекционное Издание Anatoly Adventure / Quest 0 31.10.2012 18:44
Вирус Trojan.Win32.Inject.aohy Навуходоносор Обсуждение антивирусов и файерволов 14 30.07.2011 08:15


Часовой пояс GMT +3, время: 23:59.




Яндекс.Метрика