Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Оперативная память » winlogon.exe(916) - модифицированный Win32/Dorkbot.B червь - очистка невозможна

1 2 След.
RSS
 
Sudya
Sudya
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 21.02.2013
Размещено 21.02.2013 22:52:14
у меня такаеже проблема помогите!
Оперативная память = winlogon.exe(940) - модифицированный Win32/Dorkbot.B червь - очистка невозможна
 
Sudya
Sudya
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 21.02.2013
Размещено 21.02.2013 23:02:00
SPUTNIK-FFD90E5_2013-02-21_23-31-59.7z (261.56 КБ)
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 22.02.2013 00:00:35
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.77.7 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24NAQ.EXE
addsgn 1A38649A5583C58CF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 tr.0103
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-106669\W68V12.EXE
addsgn 1A08639A5583C58CF42B254E3143FE84C9A2FFF689592784C5C34CB1642A314CAA02F3AB7E551454077CC49FCF2361063DDF614F7126F02C4BFBB17F3B462215 8 BackDoor.Ddoser.131 [DrWeb]
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\NEPRO0XZ.EXE
zoo %SystemDrive%\PROGRAM FILES\WEBMONEY\MISC\WMADVISOR.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC38506CA82 8 Trojan.BtcMine.25 [DrWeb]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЖУРАБЕК\APPLICATION DATA\A2.EXE
addsgn A7679B1BB9B64D720B13EB4D64C812054F8A03E3E54A5F780C862954A02F8EB3A02AC7977E559D3C3747C167D21649FABA9A1CEA55DAB0A768838F6A3F8F6787 8 BackDoor.BlackEnergy.24 [DrWeb]
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24NAQ.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ЖУРАБЕК\APPLICATION DATA
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЖУРАБЕК\APPLICATION DATA\A2.EXE
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\NEPRO0XZ.EXE
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-106669\W68V12.EXE
hide %SystemDrive%\PROGRAM FILES\WEBMONEY\MISC\WMADVISOR.EXE
chklst
delvir
deltmp
delnfr
regt 5
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
 
Sudya
Sudya
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 21.02.2013
Размещено 22.02.2013 01:55:07
SPUTNIK-FFD90E5_2013-02-22_02-28-09.7z (257.16 КБ)

теперь пишет так:
Оперативная память = winlogon.exe(920) - модифицированный Win32/Dorkbot.B червь - очистка невозможна
и флешку не видит. антивирус видит, а мой компьютер не видит.
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 22.02.2013 05:49:20
1. добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

2. сделайте образ автозапуска из безопасного режима системы

3. выполните быстрое сканирование в малваребайт
[ Как создать образ автозапуска? ]
 
Sudya
Sudya
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 21.02.2013
Размещено 22.02.2013 09:23:20
1.угрозы.txt (19.19 КБ)
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 22.02.2013 09:28:05
Цитата
22/02 2013 03:14:07 ?????? ???????????? ??????, ??????????? ??? ??????? ??????? ???? ??????????? ?????? = winlogon.exe(920) ???????????????? Win32/Dorkbot.B ????? ??????? ?????????? SPUTNIK-FFD90E5\???????
ок, сделайте образ из безопасного режима системы.
[ Как создать образ автозапуска? ]
 
Sudya
Sudya
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 21.02.2013
Размещено 22.02.2013 11:29:46
MBAM-log-2013-02-22 (12-20-42).txt (10.83 КБ)
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 22.02.2013 11:31:53
сделайте образ автозапуска в Безопасном режиме
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 22.02.2013 11:55:52
+
удалите в мбам все найденное, за исключением
Цитата
Объекты реестра обнаружены:  1
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему