0 / 0 / 0
Регистрация: 20.10.2012
Сообщений: 16
|
|
1 | |
Модифицированный win32/dorkbot.b червь15.01.2014, 10:47. Показов 2010. Ответов 18
Метки нет (Все метки)
Доброго дня. Eset Smart Security 4 указывает на угрозу в оперативной памяти. Выдаются сообщения Оперативная память =winlogon.exe – модифицированный Win32/Dorkbot.B червь. Также обнаружен в Svchost.exe,
Notepad.exe,Charmap.exe. Перестал работать интернет. Интернет на этом компьютере через прокси, все настройки верны, локальная сеть работает. Помогите, пожалуйста, избавиться! Заранее спасибо!
0
|
15.01.2014, 10:47 | |
Ответы с готовыми решениями:
18
Модифицированный Win32/Dorkbot.B червь Модифицированный Win32/Dorkbot.B червь модифицированный Win32/Dorkbot.B червь -очистка невозможна модифицированный Win32/Dorkbot.B червь -очистка невозможна |
21561 / 15511 / 2989
Регистрация: 08.10.2012
Сообщений: 63,066
|
|
15.01.2014, 12:03 | 2 |
Здравствуйте!
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ____________________________________________ Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код
begin 1. ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Adobe\Reader_sl.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\Fyfufz.exe',''); QuarantineFile('C:\Program Files\cd\cc7c.js',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\d27\c463c.js',''); DeleteFile('C:\Documents and Settings\Admin\Application Data\d27\c463c.js','32'); DeleteFile('C:\Program Files\cd\cc7c.js','32'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Adobe\Reader_sl.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\Fyfufz.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fyfufz'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','c463c'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','cc7c'); QuarantineFileF('C:\Documents and Settings\Admin\Application Data\d27\','*', true,'',0 ,0); QuarantineFileF('C:\Program Files\cd\','*', true,'',0 ,0); DeleteFileMask('C:\Documents and Settings\Admin\Application Data\d27\', '*.*', true); DeleteFileMask('C:\Program Files\cd\', '*.*', true); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. 2. После перезагрузки выполните такой скрипт: Код
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. 3. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
1
|
0 / 0 / 0
Регистрация: 20.10.2012
Сообщений: 16
|
|
15.01.2014, 17:47 [ТС] | 3 |
Благодарю, пробую
0
|
21561 / 15511 / 2989
Регистрация: 08.10.2012
Сообщений: 63,066
|
|
15.01.2014, 18:52 | 4 |
На почту нужно было только карантин отправлять, а логи - сюда.
Добавлено через 5 минут Пофиксите в HijackThis следующие строчки: Код
O4 - HKCU\..\Run: [Adobe System Incorporated] C:\DOCUME~1\Admin\LOCALS~1\Temp\Adobe\Reader_sl.exe Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код
begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Adobe\Reader_sl.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
1
|
0 / 0 / 0
Регистрация: 20.10.2012
Сообщений: 16
|
|
16.01.2014, 10:00 [ТС] | 5 |
Ну вот
0
|
21561 / 15511 / 2989
Регистрация: 08.10.2012
Сообщений: 63,066
|
|
16.01.2014, 10:20 | 6 |
Из безопасного режима повторите, пожалуйста, предыдущий скрипт. После перезагрузки в нормальном режиме сделайте повторные логи.
Добавлено через 1 минуту + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему сообщению. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:
1
|
0 / 0 / 0
Регистрация: 20.10.2012
Сообщений: 16
|
|
16.01.2014, 15:45 [ТС] | 7 |
Обновляла базы отдельно, установилось обновление без ошибок, но во время запуска сообщение появилось, что базы устаревшие. Просканировала. Вот результат.
0
|
21561 / 15511 / 2989
Регистрация: 08.10.2012
Сообщений: 63,066
|
|
16.01.2014, 15:56 | 8 |
Хм, не сдается.
В MBAM ничего удалять не нужно. Можете его деинсталлировать.
1
|
0 / 0 / 0
Регистрация: 20.10.2012
Сообщений: 16
|
|
16.01.2014, 16:35 [ТС] | 9 |
готово
0
|
21561 / 15511 / 2989
Регистрация: 08.10.2012
Сообщений: 63,066
|
|
16.01.2014, 16:41 | 10 |
Сообщения антивируса больше не беспокоят?
0
|
0 / 0 / 0
Регистрация: 20.10.2012
Сообщений: 16
|
|
16.01.2014, 16:53 [ТС] | 11 |
Не исчезла зараза
0
|
21561 / 15511 / 2989
Регистрация: 08.10.2012
Сообщений: 63,066
|
|
16.01.2014, 17:00 | 12 |
Повторите образ запуска uVS.
1
|
0 / 0 / 0
Регистрация: 20.10.2012
Сообщений: 16
|
|
16.01.2014, 17:13 [ТС] | 13 |
ну вот
0
|
21561 / 15511 / 2989
Регистрация: 08.10.2012
Сообщений: 63,066
|
|
16.01.2014, 17:21 | 14 |
Повторите еще раз образ автозапуска uVS.
1
|
0 / 0 / 0
Регистрация: 20.10.2012
Сообщений: 16
|
|
16.01.2014, 17:53 [ТС] | 15 |
Вроде не ругается больше
0
|
21561 / 15511 / 2989
Регистрация: 08.10.2012
Сообщений: 63,066
|
|
16.01.2014, 17:55 | 16 |
Да, чисто.
Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам. Рекомендации после удаления вредоносного ПО
1
|
0 / 0 / 0
Регистрация: 20.10.2012
Сообщений: 16
|
|
17.01.2014, 10:02 [ТС] | 17 |
Security Check by glax24 version 0.2.4.59 rc1
WebSite: www.safezone.cc DateLog: 17.01.2014 08:44:53 Run directory: C:\Documents and Settings\Admin\Local Settings\Temp\SecurityCheck\ Log directory: C:\SecurityCheck\ IsAdmin: True FileVersionLocal: 6.6 __________________________________________________ Windows XP(5.1.2600) Service Pack 3 (x86) Lang: Russian(0419) Дата установки ОС: 09.12.2010 12:18:18 Системный диск: C:\ ФС: NTFS Емкость: [13 Гб] Занято: [8.2 Гб] Свободно: [4.8 Гб] Браузер по умолчанию: C:\Program Files\Internet Explorer\IEXPLORE.EXE -------------Windows------------------------------ Internet Explorer 8.0.6001.18702 Автоматическое обновление отключено Автоматическое обновление (wuauserv) - Служба остановлена Центр обеспечения безопасности (wscsvc) - Служба остановлена Диспетчер задач отключен Восстановление системы отключено -------------Antivirus_WMI------------------------ ESET Smart Security 4.0 Антивирус обновлен -------------Firewall_WMI------------------------- Персональный файервол ESET -------------AntiVirusFirewallInstall------------- ESET Smart Security v.4.0.467.0 -------------Java--------------------------------- Java(TM) 6 Update 21 v.6.0.210 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-7u51-windows-i586.exe)^ -------------RunningProcess----------------------- C:\Program Files\Internet Explorer\iexplore.exe v.8.0.6001.18702 -------------EndLog------------------------------- Добавлено через 6 минут А восстановление системы я не могу включить на этой машине. В Групповой политике -Конфигурация компьютера - Административные шаблоны - Система -Восстановление системы- Отключить восстановление сисетмы была не задана. Я поставила отключить. все равно в Свойставах системы на вкладке Восстановление системы вообще все неактивно и птичка в строке Отключить восстановление не стоит.
0
|
21561 / 15511 / 2989
Регистрация: 08.10.2012
Сообщений: 63,066
|
|
17.01.2014, 11:16 | 18 |
Запустите скрипт в AVZ:
Код
begin ExecuteRepair(6); RebootWindows(false); end. Попробуйте включить восстановление.
1
|
0 / 0 / 0
Регистрация: 20.10.2012
Сообщений: 16
|
|
17.01.2014, 11:45 [ТС] | 19 |
Только в понедельник будет возможность добраться до той машины. Sandor, огромное спасибо Вам за оперативную помощь
0
|
17.01.2014, 11:45 | |
17.01.2014, 11:45 | |
Помогаю со студенческими работами здесь
19
модифицированный Win32/Dorkbot.B червь -очистка невозможна. Что делать Оперативная память » svchost.exe(1140) - модифицированный Win32/Dorkbot.A червь winlogon.exe(1028) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = svchost.exe- модифицированный Win32/Dorkbot.B червь - очистка невозможна Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |