Модифицированный Win32/Dorkbot Червь, жду скрипта для uvs!

Сообщений: 2

Баллов: 1

Регистрация: 17.10.2013

Размещено 17.10.2013 18:39:06

Привет всем форумщикам! В общем появилась такая проблема есть модифицированный Win32/Dorkbot.B червь - Nod не может его очистить. Не знаю откуда он появился, скорее из странного файла активатора Office 2010, но хозяева не признаются (дали посмотреть мне, так как сами вообще не шарят). И зараза вирус такой шустрый, хотел спасти информацию (думал о переустановке винды), воткнул флешечку, вставил себе на ноутбук и на те, сразу же заразил и мой, моментально! (тоже стоит нод 32 шестой версии, с новыми базами). Тогда сразу же отпала идея о снесении винды.(ибо много информации ценной, ещё и настроек, программ много установлено) Показывал 11 зараженных файлов в оперативной памяти, после отключения очень подозрительных процессов осталось четыре неотключаемых, но после перезагрузки все появляются.
Почитав темы на форуме, понял что есть менее радикальное решение проблемы, скачал uvs, создал образ автозагрузки и отдаю его специалистам ( DV7001-HP_2013-10-17_22-30-45) Залил на spaces.ru, прямые ссылки и нет желания регистрироваться на других файлообменниках.
Помогите справиться с этим вирусом.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 17.10.2013 18:43:48

Здравствуйте!

В следующий раз делайте лог свежей версией программы.

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.81.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl 7EE5A0F5BA29ACF4B85C7993F5E23333 137864 addsgn 1A6B389A5583348CF42BC4BD0C48A444256272F789FA9C1D61C34EC958ED44483555C3201C3F99A13694849F1F952C067D89005649DAB075A43240E882FADC8C 8 ASk.Bar bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976 addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor bl 9CC5C24E0BCB282202C633F16402E3E1 795960 addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP addsgn 1A906A9A5583D98CF42B95BC3418520550880F3560F9017885483AE9DB3A22C77E1F40ACDE22F21F7C03B9FFA05649FA08C700925BDAB046339F8E22C7064A8C 8 a variant of Win32/Injector.ALAO [ESET- zoo %SystemDrive%\USERS\DV7001\APPDATA\ROAMING\84D1.EXE bl F39A9E921DEDA134E4EA61D2DAEBDC16 345926 zoo %SystemDrive%\USERS\DV7001\APPDATA\ROAMING\DBD5.EXE bl 13EECAB33868AF062BE1E64019511B77 206150 addsgn 1A67589A5583C58CF42B254E3143FE84C9A2FFF68959FF78C4C34CB18CD6304CAA021B577F551454FF80C59FCF2399FA3CDF614F99DAF12C4BFBB1D7C7472215 8 ВщклИще zoo %SystemDrive%\USERS\DV7001\APPDATA\ROAMING\SCREENSAVERPRO.SCR bl E32C7A10916A9D7AA124EA7AA9C28C51 177152 zoo %SystemDrive%\USERS\DV7001\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\NTDETECT.COM zoo %SystemDrive%\USERS\DV7001\APPDATA\ROAMING\MICROSOFT\LUHAHL.EXE adddir %SystemDrive%\USERS\DV7001\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP chklst delvir delref HTTP://G.UK.MSN.COM/HPALL/36 delref HTTP://GO.MICROSOFT.COM/FWLINK/?LINKID=54896 delref HTTP://WEBALTA.RU/SEARCH delref HTTP://WWW.MAIL.RU/CNT/9647 delref HTTP://WWW.SEARCH.ASK.COM/?L=DIS&O=102876&GCT=HP delall F:\EWLGMAUGRWLZQNO.EXE delall \DEVICE\HARDDISKVOLUME5\EWLGMAUGRWLZQNO.EXE ; Java(TM) 6 Update 22 (64-bit) exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F86416022FF} /quiet ; Ask Toolbar exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} /quiet deltmp delnfr czoo restart

Код

;;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 7EE5A0F5BA29ACF4B85C7993F5E23333 137864
addsgn 1A6B389A5583348CF42BC4BD0C48A444256272F789FA9C1D61C34EC958ED44483555C3201C3F99A13694849F1F952C067D89005649DAB075A43240E882FADC8C 8 ASk.Bar
bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor
bl 9CC5C24E0BCB282202C633F16402E3E1 795960
addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP
addsgn 1A906A9A5583D98CF42B95BC3418520550880F3560F9017885483AE9DB3A22C77E1F40ACDE22F21F7C03B9FFA05649FA08C700925BDAB046339F8E22C7064A8C 8 a variant of Win32/Injector.ALAO [ESET-
zoo %SystemDrive%\USERS\DV7001\APPDATA\ROAMING\84D1.EXE
bl F39A9E921DEDA134E4EA61D2DAEBDC16 345926
zoo %SystemDrive%\USERS\DV7001\APPDATA\ROAMING\DBD5.EXE
bl 13EECAB33868AF062BE1E64019511B77 206150
addsgn 1A67589A5583C58CF42B254E3143FE84C9A2FFF68959FF78C4C34CB18CD6304CAA021B577F551454FF80C59FCF2399FA3CDF614F99DAF12C4BFBB1D7C7472215 8 ВщклИще
zoo %SystemDrive%\USERS\DV7001\APPDATA\ROAMING\SCREENSAVERPRO.SCR
bl E32C7A10916A9D7AA124EA7AA9C28C51 177152
zoo %SystemDrive%\USERS\DV7001\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\NTDETECT.COM
zoo %SystemDrive%\USERS\DV7001\APPDATA\ROAMING\MICROSOFT\LUHAHL.EXE
adddir %SystemDrive%\USERS\DV7001\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP
chklst
delvir
delref HTTP://G.UK.MSN.COM/HPALL/36
delref HTTP://GO.MICROSOFT.COM/FWLINK/?LINKID=54896
delref HTTP://WEBALTA.RU/SEARCH
delref HTTP://WWW.MAIL.RU/CNT/9647
delref HTTP://WWW.SEARCH.ASK.COM/?L=DIS&O=102876&GCT=HP
delall F:\EWLGMAUGRWLZQNO.EXE
delall \DEVICE\HARDDISKVOLUME5\EWLGMAUGRWLZQNO.EXE
; Java(TM) 6 Update 22 (64-bit)
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F86416022FF} /quiet
; Ask Toolbar
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} /quiet
deltmp
delnfr
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не

Правильно заданный вопрос - это уже половина ответа

Сообщений: 2

Баллов: 1

Регистрация: 17.10.2013

Размещено 17.10.2013 19:40:46

О, великий модератор Арвид! Благодарен Вам за помощь, (надеюсь следующего раза уже не повторится) архив уже отправил на почту, сейчас скачаю малварабейтс и сделаю лог

Изменено: Максим Галагуз - 17.10.2013 19:45:04