Модифицированный Win32/Dorkbot.B червь

@InaVal · Регистрация: 02.07.2013

Студворк — интернет-сервис помощи студентам

Здравствуйте! Сканирование Eset Smart Security 6 выявило его в mspaint.exe, svchost.exe, winlogon.exe и других файлах! Помогите, пожалуйста, избавиться! Заранее спасибо!

@Sandor · 03.07.2013, 00:24

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ____

1.
Как подготовить лог HijackThis

2.
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Bpfkfl.exe','');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Gpfkfq.exe','');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\ScreenSaverPro.scr','');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Bpfkfl.exe');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Gpfkfq.exe');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\ScreenSaverPro.scr');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Bpfkfl');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Gpfkfq');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Code
1
2
3
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3.
Если не сами устанавливали, деинсталлируйте тулбар DealPly. Он из категории потенциально нежелательного ПО.

4.
Повторите логи AVZ (стандартный скрипт 2) и RSIT.

5.
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему сообщению. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве

@InaVal · 10.07.2013, 00:44 **[ТС]**

Извините за задержку с ответом, уехал в другой город и теперь лечение провожу через Тим Вьювер!

@Sandor · 10.07.2013, 09:21

Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите только:

Обнаруженные ключи в реестре: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentV ersion\Ext\Settings\{AE48ED75-5A56-4C5F-BBCE-6F1AC3875F66} (PUP.DealPly) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentV ersion\Ext\Stats\{AE48ED75-5A56-4C5F-BBCE-6F1AC3875F66} (PUP.DealPly) -> Действие не было предпринято.

Обнаруженные файлы:
C:\Users\Администратор\AppData\Roaming\t emp.bin (Malware.Packer.PEX) -> Действие не было предпринято

Не вижу повторного лога AVZ.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Что с проблемой?

@InaVal · 10.07.2013, 10:40 **[ТС]**

Извините, пропустил лог AVZ среди всего этого!

@InaVal · 10.07.2013, 18:20 **[ТС]**

Все сделал! Только ссылка на руководство по AdwCleaner битая!

@Sandor · 12.07.2013, 14:15

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

Внимание !!! База поcледний раз обновлялась 30.01.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.39.

Сообщение от Sandor

Что с проблемой?

???

@InaVal · 12.07.2013, 22:12 **[ТС]**

Сообщение от Sandor

???

Извиняюсь, в том сообщении не было цитаты про старую версию AVZ, потому я не понял вопроса! Уже все обновлено до последней версии!
Лог AdwCleaner прилагается.

@Sandor · 12.07.2013, 23:08

Третья попытка)))

Сообщение от Sandor

Что с проблемой?

Сообщение от InaVal

Модифицированный Win32/Dorkbot.B червь

все еще проявляется?

@InaVal · 12.07.2013, 23:50 **[ТС]**

Сообщение от Sandor

Третья попытка)))

все еще проявляется?

Епт)) Теперь вопрос точно понятен!

) Отправил компьютер на полное сканирование! О результатах сообщу завтра!

@InaVal · 21.07.2013, 22:54 **[ТС]**

Сообщение от Sandor

Третья попытка)))

все еще проявляется?

Проблема решена, большое спасибо!

@Sandor · 22.07.2013, 00:00

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

Рекомендации после удаления вредоносного ПО

Новые блоги и статьи Все статьи Все блоги /
Символьное дифференцирование igorrr37 13.02.2026 / * Логарифм записывается как: (x-2)log(x^2+2) - означает логарифм (x^2+2) по основанию (x-2). Унарный минус обозначается как ! */ #include <iostream> #include <stack> #include <cctype>. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,809
	22.07.2013, 00:00
	Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам. Рекомендации после удаления вредоносного ПО 0