Модифицированный Win32/Corkow.F троянская программа, очистка

[daniil_p]

Здравствуйте. Сообщение ESET Nod 32: Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(536) модифицированный Win32/Corkow.F троянская программа очистка невозможна. Логи прикладываю. Помогите, пожалуйста.
PS. Я так понимаю, что проблемы создает скрипт fwc2c.pl?

 

[arkalik]

Модифицированный Win32/Corkow.F троянская программа, очи

daniil_p ВЫПОЛНЯЕМ СКРИПТ В uVS
- скопировать содержимое из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой мышью и выбираете Копировать);
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, слева наверху выбираете пункт: скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
- на запросы об удалении программ соглашайтесь (нажимаем Да или Далее);

;uVS v3.80.12 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
addsgn 98ED2F58596A267161D4C4B18C67EFFADA0F3C8299056B5C893CB1985C2905682FE813BC3D3F9C11E98C840756203B5A6DE99A7255DAB02C2D77A42FC7062241 8 Corkow
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\SOKOLOVA\APPLICATION DATA\MICROSOFT CORPORATION\FWC2C.PL
bl F745F5EC601E6843E6F83E216DB4BAB1 281376
delall %SystemDrive%\DOCUMENTS AND SETTINGS\SOKOLOVA\APPLICATION DATA\MICROSOFT CORPORATION\FWC2C.PL
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту virus_base@mail.ru.
------------------------
далее, выполните быстрое сканирование в Malwarebytes

 

[daniil_p]

Модифицированный Win32/Corkow.F троянская программа, очи

EsetNod32 перестал сообщать о вирусе. Сообщение на почту отправил. Лог MBAM прикладываю Спасибо большое за помощь.

 

[arkalik]

Модифицированный Win32/Corkow.F троянская программа, очи

daniil_p Чисто, Если проблема решена, то:
При наличии на ПК доступа в интернет выполните следующий скрипт в AVZ:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.