Win32/Dorkbot.B червь

@Wenfas · Регистрация: 20.12.2013

Студворк — интернет-сервис помощи студентам

Доброго времени. Снова обнаружил данного червя.

@shestale · 06.03.2014, 07:15

Это уже другой компьютер или продолжение этого?

@Wenfas · 06.03.2014, 08:28 **[ТС]**

Другой.

@shestale · 06.03.2014, 11:06

Сообщение от Wenfas

Другой.

Вы уж тогда названия тем меняйте, а то не понятно.

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

1. Запустить HijackThis от имени администратора, нажать "Do a system scan only", отметить указанные строки и нажать "Fix сhecked".

Code
1
O17 - HKLM\System\CCS\Services\Tcpip\..\{86267101-1B41-4988-A1C0-C8775E1A4197}: NameServer = 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1

Если после этого пропадет интернет, тогда откройте ваше сетевое подключение в свойствах протокола TCP/IPv4 пропишите адреса DNS-серверов вашего провайдера или публичные

8.8.8.8 - основной
8.8.4.4 - альтернативный

Очистите кэш DNS, для этого в командной строке, запущенной от администратора выполните:
("Пуск"=>Введите cmd => По найденному объекту кликните правой кнопкой мыши и выберите пункт Запустить с правами администратора")

ipconfig /flushdns

2. Запустить AVZ от имени администратора, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.
(порядковые номера строк скрипта не копируйте)

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\nsvb.exe','');
 QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\Ffomor.exe','');
 DeleteFile('C:\Documents and Settings\Пользователь\Application Data\Ffomor.exe','32');
 DeleteFile('C:\Documents and Settings\Пользователь\Application Data\nsvb.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ffomor');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. После перезагрузки, выполните такой скрипт:

Code
1
2
3
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

4. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

5. Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

6. Подготовьте лог MBAM.

7. Подготовьте лог AdwCleaner.

@Wenfas · 10.03.2014, 06:57 **[ТС]**

Вот.

@shestale · 10.03.2014, 07:06

1. Удалите в Malwarebytes Anti-Malware эти найденные объекты:

HKCU\SOFTWARE\Microsoft\Windows\CurrentV ersion\Ext\Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> Действие не было предпринято.

2. Удалите в AdwCleaner все найденные объекты.
3. Почистите браузеры с помощью AVZ
меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы. отметьте:

очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке

Проблема решена?

@Wenfas · 10.03.2014, 07:26 **[ТС]**

Большое спасибо. По крайней мере NOD ничего не нашел.

@shestale · 10.03.2014, 07:28

Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.

Рекомендации после удаления вредоносного ПО

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .	SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .
SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	06.03.2014, 07:15
	Это уже другой компьютер или продолжение этого? 0

@Wenfas 0 / 0 / 0 Регистрация: 20.12.2013 Сообщений: 18
	06.03.2014, 08:28 [ТС]
	Другой. 0

@Wenfas 0 / 0 / 0 Регистрация: 20.12.2013 Сообщений: 18
	10.03.2014, 07:26 [ТС]
	Большое спасибо. По крайней мере NOD ничего не нашел. 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	10.03.2014, 07:28
	Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24. Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам. Рекомендации после удаления вредоносного ПО 0