winlogon.exe(1028) - модифицированный Win32/Dorkbot.B червь - очистка невозможна

@Troy79 · Регистрация: 09.12.2013

Студворк — интернет-сервис помощи студентам

Добрый вечер! Вирус пришел с флэшки посетителей. Обнаружили вирус поздно, когда уже заражение произошло. Помогите, пожалуйста, вылечить комп.

magirus · 09.12.2013, 18:59

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@Troy79 · 10.12.2013, 11:10 **[ТС]**

В процессе проверки компьютера система зависла, после Reset проверка возобновилась и создала данный архив...

@Sandor · 10.12.2013, 11:38

Здравствуйте!

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ____

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

1. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\DOCUME~1\Troy\LOCALS~1\Temp\Adobe\Reader_sl.exe','');
 QuarantineFile('C:\Documents and Settings\Troy\Application Data\Microsoft\Etwywc.exe','');
 QuarantineFile('C:\Documents and Settings\Troy\Application Data\ScreenSaverPro.scr','');
 DeleteFile('C:\DOCUME~1\Troy\LOCALS~1\Temp\Adobe\Reader_sl.exe');
 DeleteFile('C:\Documents and Settings\Troy\Application Data\Microsoft\Etwywc.exe');
 DeleteFile('C:\Documents and Settings\Troy\Application Data\ScreenSaverPro.scr');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Etwywc');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.

Компьютер перезагрузится.

2. После перезагрузки, выполните такой скрипт:

Code
1
2
3
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему сообщению. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве

@Troy79 · 10.12.2013, 12:21 **[ТС]**

При попытке выполнения скрипта выдает ошибку. PrintScreen во вложении.

@Sandor · 10.12.2013, 12:22

Не копируйте порядковые номера строк.

@Troy79 · 10.12.2013, 13:55 **[ТС]**

Во вложении файл, полученный при сканировании MBAM

@Sandor · 10.12.2013, 14:17

Карантин отправляли? Если на форму, продублируйте, пожалуйста, на почту.

Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите все, кроме:

Объекты реестра обнаружены:
HKCU\SOFTWARE\Microsoft\Windows\CurrentV ersion\Policies\Explorer|StartMenuLogoff (PUM.Hijack.StartMenu) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
Обнаруженные файлы:
C:\Program Files\WinRAR\patch.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
C:\SAMInside\SAMInside.exe (PUP.SAMInside) -> Действие не было предпринято.
C:\virded\Programs\AVZ\Quarantine\2013-12-10\avz00001.dta (Trojan.FakeAlert) -> Действие не было предпринято.
I:\work\distr\Antiwpa-V3.4.6 for X64 and X86.rar (PUP.Wpakill) -> Действие не было предпринято.
I:\work\distr\Ashampoo_WinOptimizer_7_17 _2010.rar (PUP.Hacktool.Patcher) -> Действие не было предпринято.
I:\work\distr\Generic Antiwpa-2.1.5-WinXP-2k3.zip (Hacktool) -> Действие не было предпринято.
I:\work\distr\ACDSee12.0.344\Keygen\CORE 10k.EXE (PUP.Keygen.Intro) -> Действие не было предпринято.
I:\work\distr\ACDSee12.0.344\Keygen\keyg en.exe (Trojan.Dropper.PGen) -> Действие не было предпринято.
I:\work\distr\ACDSee14\Keygen.exe (Malware.Packer) -> Действие не было предпринято.
I:\work\distr\Nero Burning ROM\Nero.8.x.Ultra.Edition.Keymaker.Only-EMBRACE\Nero 8.x Ultra Edition KeyGen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
I:\work\distr\Nero Burning ROM\Nero.8.x.Ultra.Edition.NEW.Keymaker. Only-EMBRACE\keymaker.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
I:\work\distr\WinRar v.3.64\wrar36b4ru.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
I:\work\distr\TheBat!\The Bat Pro 5.0.10\Keygen.exe (Malware.Packer) -> Действие не было предпринято.

Повторно просканируйте с помощью MBAM диск С и покажите лог.

@Troy79 · 10.12.2013, 14:32 **[ТС]**

Карантин продублировал на электронку.

@Sandor · 10.12.2013, 14:38

Пришел. Делайте MBAM, затем повторите комплект логов по правилам.

@Troy79 · 10.12.2013, 17:36 **[ТС]**

Проверка после удаления.

@Sandor · 10.12.2013, 17:44

Сообщение от Sandor

повторите комплект логов по правилам.

Еще это ждем.

@Troy79 · 10.12.2013, 18:04 **[ТС]**

Логи отправил.

@Sandor · 10.12.2013, 18:10

Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите только:

Обнаруженные папки: 3
C:\Documents and Settings\Troy\Application Data\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Documents and Settings\Troy\Application Data\OpenCandy\9AC816CBE50B43089A7A37FF6 72E9BA9 (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Documents and Settings\Troy\Application Data\OpenCandy\E6278017F2F245C7B898A84B3 F79F317 (PUP.Optional.OpenCandy) -> Действие не было предпринято.

Обнаруженные файлы:
C:\Documents and Settings\Troy\Application Data\27.exe (Spyware.Zbot.ED) -> Действие не было предпринято.
C:\Documents and Settings\Troy\Application Data\2A.exe (Spyware.Zbot.ED) -> Действие не было предпринято.
C:\Documents and Settings\Troy\Application Data\70.exe (Spyware.Zbot.ED) -> Действие не было предпринято.
C:\Documents and Settings\Troy\tmp\svсhost.exe (PUP.BitCoinMiner) -> Действие не было предпринято.
C:\Documents and Settings\Troy\Application Data\OpenCandy\9AC816CBE50B43089A7A37FF6 72E9BA9\TuneUpUtilities2013-2200268_ru-RU.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Documents and Settings\Troy\Application Data\OpenCandy\E6278017F2F245C7B898A84B3 F79F317\hamsterfreeziparchiver.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.

Повторите сканирование диска C в MBAM и приложите очередной лог.

что с проблемой?

@Troy79 · 10.12.2013, 18:14 **[ТС]**

На USB незваные гости не лезут, страницы в браузере открываются с первого раза.

Последние логи выложу уже завтра.

@Sandor · 10.12.2013, 18:19

Хорошо, ждем.

Попутно можете закрыть уязвимости системы:

-------------Antivirus_WMI------------------------
ESET NOD32 Antivirus 4.2
Антивирус устарел
Сканирование отключено

-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.9.900.117 Внимание! Скачать обновления
Adobe Reader X (10.1.8) - Russian v.10.1.8 Внимание! Скачать обновления
-------------EmailClient--------------------------
The Bat! Professional v5.0.10 v.5.0.10 Внимание! Скачать обновления

@Troy79 · 11.12.2013, 12:36 **[ТС]**

Логи и MBАМ без закрытия уязвимостей,

@Sandor · 11.12.2013, 12:49

Скачайте ComboFix здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

@Troy79 · 11.12.2013, 13:53 **[ТС]**

ComboFix 13-12-10.01 - Troy 11.12.2013 13:24:43.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.3071.2348 [GMT 3:00]
Running from: C:\Documents and Settings\Troy\¦рсюўшщ ёЄюы\ComboFix.exe
AV: ESET NOD32 Antivirus 4.2 *Disabled/Outdated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

@Sandor · 11.12.2013, 14:16

Сообщение от Sandor

запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Лучше так

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .

@Troy79 0 / 0 / 0 Регистрация: 09.12.2013 Сообщений: 15

	winlogon.exe(1028) - модифицированный Win32/Dorkbot.B червь - очистка невозможна 09.12.2013, 18:57. Показов 3061. Ответов 29 Метки нет (Все метки) Добрый вечер! Вирус пришел с флэшки посетителей. Обнаружили вирус поздно, когда уже заражение произошло. Помогите, пожалуйста, вылечить комп. 0

magirus Почетный модератор 28049 / 15785 / 983 Регистрация: 15.09.2009 Сообщений: 67,752 Записей в блоге: 78
	09.12.2013, 18:59
	Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@Troy79 0 / 0 / 0 Регистрация: 09.12.2013 Сообщений: 15
	10.12.2013, 12:21 [ТС]
	При попытке выполнения скрипта выдает ошибку. PrintScreen во вложении. Миниатюры 0

@Sandor 22458 / 15912 / 3080 Регистрация: 08.10.2012 Сообщений: 64,823
	10.12.2013, 12:22
	Не копируйте порядковые номера строк. 0

@Troy79 0 / 0 / 0 Регистрация: 09.12.2013 Сообщений: 15
	10.12.2013, 14:32 [ТС]
	Карантин продублировал на электронку. 0

@Sandor 22458 / 15912 / 3080 Регистрация: 08.10.2012 Сообщений: 64,823
	10.12.2013, 14:38
	Пришел. Делайте MBAM, затем повторите комплект логов по правилам. 0

@Troy79 0 / 0 / 0 Регистрация: 09.12.2013 Сообщений: 15
	10.12.2013, 18:14 [ТС]
	На USB незваные гости не лезут, страницы в браузере открываются с первого раза. Последние логи выложу уже завтра. 0

@Sandor 22458 / 15912 / 3080 Регистрация: 08.10.2012 Сообщений: 64,823
	10.12.2013, 18:19
	Хорошо, ждем. Попутно можете закрыть уязвимости системы: -------------Antivirus_WMI------------------------ ESET NOD32 Antivirus 4.2 Антивирус устарел Сканирование отключено -------------AdobeProduction---------------------- Adobe Flash Player 11 ActiveX v.11.9.900.117 Внимание! Скачать обновления Adobe Reader X (10.1.8) - Russian v.10.1.8 Внимание! Скачать обновления -------------EmailClient-------------------------- The Bat! Professional v5.0.10 v.5.0.10 Внимание! Скачать обновления 0

@Sandor 22458 / 15912 / 3080 Регистрация: 08.10.2012 Сообщений: 64,823
	11.12.2013, 12:49
	Скачайте ComboFix здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe Подробнее в "ComboFix. Руководство по применению." 0

@Troy79 0 / 0 / 0 Регистрация: 09.12.2013 Сообщений: 15
	11.12.2013, 13:53 [ТС]
	ComboFix 13-12-10.01 - Troy 11.12.2013 13:24:43.1.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.3071.2348 [GMT 3:00] Running from: C:\Documents and Settings\Troy\¦рсюўшщ ёЄюы\ComboFix.exe AV: ESET NOD32 Antivirus 4.2 Disabled/Outdated {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0} 0