Оперативная память = winlogon.exe(828) - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 6

Баллов: 3

Регистрация: 18.06.2013

Размещено 18.06.2013 07:45:11

Здравствуйте! Описание: Оперативная память = winlogon.exe(82 8) - модифицированный Win32/Dorkbot.B червь - очистка невозможна. Сделал все как написано здесь http://forum.esetnod32.ru/forum9/topic2687/. Вот файл.

Прикрепленные файлы

VYURYEVHOME_2013-06-18_07-49-25.rar (314.96 КБ)

Изменено: Vladimir Yuryev - 18.06.2013 07:48:30

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.06.2013 07:51:33

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.80.5 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\МОИ ДОКУМЕНТЫ\DOWNLOADS\EI 2.58.EXE addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC38506CA82 59 Win32/Dorkbot.B delref HTTP://WEBALTA.RU/SEARCH addsgn A7679B1991D64F4F1712EFB14DF51A93648AD7CBF5FB5D7884FEB9BD12D6F819E334DE5FA8149D6836083FDE461544DAB79EE873589A0E6D2D5CB90F0D472252 8 BackDoor.IRC.NgrBot.146 [DrWeb] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\NQHYHL.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\SCREENSAVERPRO.SCR adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\ delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\NQHYHL.EXE chklst delvir delref HTTP://WEBALTA.RU/SEARCH deltmp delnfr ; Java(TM) 6 Update 37 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216037FF} /quiet czoo restart

Код

;uVS v3.80.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\МОИ ДОКУМЕНТЫ\DOWNLOADS\EI 2.58.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC38506CA82 59 Win32/Dorkbot.B
delref HTTP://WEBALTA.RU/SEARCH
addsgn A7679B1991D64F4F1712EFB14DF51A93648AD7CBF5FB5D7884FEB9BD12D6F819E334DE5FA8149D6836083FDE461544DAB79EE873589A0E6D2D5CB90F0D472252 8 BackDoor.IRC.NgrBot.146 [DrWeb]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\NQHYHL.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\SCREENSAVERPRO.SCR
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\NQHYHL.EXE
chklst
delvir
delref HTTP://WEBALTA.RU/SEARCH
deltmp
delnfr
; Java(TM) 6 Update 37
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216037FF} /quiet
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
----------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 18.06.2013

Размещено 18.06.2013 21:58:34

Спасибо, проблема решена!

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 18.06.2013 22:06:49

Vladimir Yuryev
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

Сообщений: 6

Баллов: 3

Регистрация: 18.06.2013

Размещено 08.07.2013 16:13:06

Повторное заражение этим вирусом!

Прикрепленные файлы

VYURYEVHOME_2013-07-08_16-26-03.rar (304.43 КБ)

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 08.07.2013 16:24:40

выполняем скрипт:

Код
;uVS v3.80.12 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 bl 5D7460DD619A47ED791AF7C93F6EA415 2295328 addsgn 1A18D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C2B9100CD6993D8517C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 GuardMail zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\CQHYHA.EXE bl A20C05C72A75AB52B59A27A0D1FB2E29 205312 addsgn A7659219B9628B762FD6AEB1643707A9B4CAFC1E2104E087154E719A50D6714C769CCE8BAF159DC0CEDD7B7ECB626FFA2854E5B6C49AB0A5C82A5BCE5796B2E3 16 DorkBot zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\SCREENSAVERPRO.SCR bl A4E806CFC72C4388C0A9D109546FF7C8 149637 addsgn 9252621A156AC1CCE05B514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 virblockada_vir bl 9FA189A660525223275162445A9C4CD9 600608 addsgn 1A52F49A5583C58CF42B254E3143FE8E6082CF3FB2FED2D8FD8BC5C84397F2B50E6532DA76B81EB03AF78AF54B4E1439F6DB25D62D92B071EE72E0D038F9487D 8 MailSputnik adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT chklst delvir ; Java(TM) SE Development Kit 6 Update 37 exec MsiExec.exe /I{32A3A4F4-B792-11D6-A78A-00B0D0160370} /quiet ; Java DB 10.6.2.1 exec MsiExec.exe /X{73EC658D-A1C6-40CA-8E86-E05821BAACE7} /quiet deltmp delnfr delref HTTP://WWW.CHIPXP.RU/ delref HTTP://WWW.MAIL.RU/CNT/9516 setdns Подключение по локальной сети 2\4\{FFA5405A-3AA5-4776-A955-8D77EA7BC22F}\ czoo restart

Код

;uVS v3.80.12 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl 5D7460DD619A47ED791AF7C93F6EA415 2295328
addsgn 1A18D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C2B9100CD6993D8517C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 GuardMail
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\CQHYHA.EXE
bl A20C05C72A75AB52B59A27A0D1FB2E29 205312
addsgn A7659219B9628B762FD6AEB1643707A9B4CAFC1E2104E087154E719A50D6714C769CCE8BAF159DC0CEDD7B7ECB626FFA2854E5B6C49AB0A5C82A5BCE5796B2E3 16 DorkBot
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\SCREENSAVERPRO.SCR
bl A4E806CFC72C4388C0A9D109546FF7C8 149637
addsgn 9252621A156AC1CCE05B514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 virblockada_vir
bl 9FA189A660525223275162445A9C4CD9 600608
addsgn 1A52F49A5583C58CF42B254E3143FE8E6082CF3FB2FED2D8FD8BC5C84397F2B50E6532DA76B81EB03AF78AF54B4E1439F6DB25D62D92B071EE72E0D038F9487D 8 MailSputnik
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT
chklst
delvir
; Java(TM) SE Development Kit 6 Update 37
exec MsiExec.exe /I{32A3A4F4-B792-11D6-A78A-00B0D0160370} /quiet
; Java DB 10.6.2.1
exec MsiExec.exe /X{73EC658D-A1C6-40CA-8E86-E05821BAACE7} /quiet
deltmp
delnfr
delref HTTP://WWW.CHIPXP.RU/
delref HTTP://WWW.MAIL.RU/CNT/9516
setdns Подключение по локальной сети 2\4\{FFA5405A-3AA5-4776-A955-8D77EA7BC22F}\
czoo
restart

Изменено: Арвид - 08.07.2013 16:26:02

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 09.07.2013 07:59:59

Цитата
Vladimir Yuryev пишет: Повторное заражение этим вирусом!

потому и повторное, что в прошлый раз недолечили систему до конца. выполните в этот раз все рекомендации хелперов.

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 18.06.2013

Размещено 09.07.2013 15:12:19

Спасибо за помощь! Как в прошлый, так и в текущий случай заражения проделаны все рекомендации, и следовательно было вылечено. Источник заражения известен - мобильник HTC с андроидом, в частности, его флешка.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 09.07.2013 15:15:55

Vladimir Yuryev
Рекомендую отключить автозапуск - в качестве профилактический меры.

[ Закрыто ] Оперативная память = winlogon.exe(828) - модифицированный Win32/Dorkbot.B червь - очистка невозможна