win32/dorkbot.b - Форум технической поддержки ESET NOD32

Сообщений: 14

Баллов: 7

Регистрация: 13.06.2013

Размещено 24.11.2013 02:44:01

Помогите, пожалуйста избавиться от вируса win32/dorkbot.b. Быстро распространяется, дошел и до оперативной памяти.

Прикрепленные файлы

DNAPC_2013-11-24_00-25-58.7z (609.87 КБ)

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 24.11.2013 02:46:55

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.81.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12986119\SJDBPRO61.EXE bl 39192DA38AD821D5E6CD6B68843DC81D 147456 addsgn 1A04419A5583C58CF42B254E329F21F39AFA02B78979238D592184BC51A36CC127E21BB57F55147143208B9F46E97979BAC71767ED6AF12CA8B7D0238185DC57 8 a variant of Win32/Injector.ARSA [ESET- zoo %SystemDrive%\PROGRAMDATA\DXOOUII.EXE bl AE9E3843307A29DCBBEE758A0ACA7372 119808 addsgn 1A9D0E9A5583C58CF42B254E3143FE86C986AFF93EA25D2E0E32CA0B1892F801DF92352236D655B6C258839F46952C027D886137A157F6287D1D957C4A43D619 8 Win32/TrojanDownloader.Wauchos.Q [ESET- zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\ADOBE\READER_SL.EXE bl BCEE724F2D310A511C8B9F833CA1EB27 96768 addsgn A7655BBEF44174320BD76DF0E9C418BCABE013E902F77424C7C32D8350D671A44323C3576EBDE7492B80DC77731549FA2D54F537C798B0C4F675A42F9F35EB3C 8 dorkkbot bl FEE72CDAEB737D8E98906C1ECD445B60 794424 addsgn 1A39779B5583358CF42B623A30EC168E69AEF4014BF91F7885B6F93752EC70390D1D0323186FFC485EA58E7B320B88126DE5A97020C3BAEC59669E4EC47332F0 8 yandex adddir %SystemDrive%\PROGRAMDATA adddir %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12986119 adddir %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING delmz %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\ZAME\PAINTTOOL SAI RUSSIAN PACK\START-SAI.EXE chklst delvir delref HTTP://WWW.MAIL.RU/CNT/9516 delref HTTP://WWW.FARGUS.COM/ delref HTTP://GO.MAIL.RU/SEARCH?FR=FFTB&Q= ; Java 7 Update 25 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217021FF} /quiet deltmp delnfr regt 14 czoo restart

Код

;;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12986119\SJDBPRO61.EXE
bl 39192DA38AD821D5E6CD6B68843DC81D 147456
addsgn 1A04419A5583C58CF42B254E329F21F39AFA02B78979238D592184BC51A36CC127E21BB57F55147143208B9F46E97979BAC71767ED6AF12CA8B7D0238185DC57 8 a variant of Win32/Injector.ARSA [ESET-
zoo %SystemDrive%\PROGRAMDATA\DXOOUII.EXE
bl AE9E3843307A29DCBBEE758A0ACA7372 119808
addsgn 1A9D0E9A5583C58CF42B254E3143FE86C986AFF93EA25D2E0E32CA0B1892F801DF92352236D655B6C258839F46952C027D886137A157F6287D1D957C4A43D619 8 Win32/TrojanDownloader.Wauchos.Q [ESET-
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\ADOBE\READER_SL.EXE
bl BCEE724F2D310A511C8B9F833CA1EB27 96768
addsgn A7655BBEF44174320BD76DF0E9C418BCABE013E902F77424C7C32D8350D671A44323C3576EBDE7492B80DC77731549FA2D54F537C798B0C4F675A42F9F35EB3C 8 dorkkbot
bl FEE72CDAEB737D8E98906C1ECD445B60 794424
addsgn 1A39779B5583358CF42B623A30EC168E69AEF4014BF91F7885B6F93752EC70390D1D0323186FFC485EA58E7B320B88126DE5A97020C3BAEC59669E4EC47332F0 8 yandex
adddir %SystemDrive%\PROGRAMDATA
adddir %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12986119
adddir %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING
delmz %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\ZAME\PAINTTOOL SAI RUSSIAN PACK\START-SAI.EXE
chklst
delvir
delref HTTP://WWW.MAIL.RU/CNT/9516
delref HTTP://WWW.FARGUS.COM/
delref HTTP://GO.MAIL.RU/SEARCH?FR=FFTB&Q=
; Java 7 Update 25
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217021FF} /quiet
deltmp
delnfr
regt 14
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Сообщений: 14

Баллов: 7

Регистрация: 13.06.2013

Размещено 24.11.2013 03:30:31

Первый вирус пропал, теперь постоянно(с небольшим интервалом) появляется угроза Win32\InjectorAEJX от странных файлов по топу "http:\\ 146.0.79.179.10" "http:\\ 146.0.79.179.11" и так далее

Сообщений: 14

Баллов: 7

Регистрация: 13.06.2013

Размещено 24.11.2013 03:32:12

Вот новый лог

Прикрепленные файлы

DNAPC_2013-11-24_01-21-12.7z (598.1 КБ)

Изменено: Даша Тлепова - 24.11.2013 03:32:37

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 24.11.2013 03:34:06

выполняйте скрипт:

Код
;uVS v3.81.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\PROGRAMDATA\DXOOUII.EXE bl AE9E3843307A29DCBBEE758A0ACA7372 119808 addsgn 1A9D0E9A5583C58CF42B254E3143FE86C986AFF93EA25D2E0E32CA0B1892F801DF92352236D655B6C258839F46952C027D886137A157F6287D1D957C4A43D619 8 Win32/TrojanDownloader.Wauchos.Q [ESET- adddir %SystemDrive%\PROGRAMDATA delmz %SystemDrive%\PROGRAMDATA\DXOOUII.EXE delall %SystemDrive%\PROGRAMDATA\DXOOUII.EXE chklst delvir restart

Код

;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\PROGRAMDATA\DXOOUII.EXE
bl AE9E3843307A29DCBBEE758A0ACA7372 119808
addsgn 1A9D0E9A5583C58CF42B254E3143FE86C986AFF93EA25D2E0E32CA0B1892F801DF92352236D655B6C258839F46952C027D886137A157F6287D1D957C4A43D619 8 Win32/TrojanDownloader.Wauchos.Q [ESET-
adddir %SystemDrive%\PROGRAMDATA
delmz %SystemDrive%\PROGRAMDATA\DXOOUII.EXE
delall %SystemDrive%\PROGRAMDATA\DXOOUII.EXE
chklst
delvir
restart

после перезагрузки делаем лог Мбам

Правильно заданный вопрос - это уже половина ответа

Сообщений: 14

Баллов: 7

Регистрация: 13.06.2013

Размещено 24.11.2013 03:51:15

При сканировании программа еще больше вирусов обнаружила.

Прикрепленные файлы

MBAM-log-2013-11-24 (01-48-38).txt (6.38 КБ)

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 24.11.2013 03:52:33

отметьте все галочками и удалите. затем перезагрузитесь и повторите лог

Правильно заданный вопрос - это уже половина ответа

Сообщений: 14

Баллов: 7

Регистрация: 13.06.2013

Размещено 24.11.2013 04:04:52

Все проблемы устранены. Спасибо вам, огромное! Уже не первый раз спасаете

Прикрепленные файлы

mbam-log-2013-11-24 (01-55-15).txt (2.19 КБ)

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 24.11.2013 04:05:40

сделайте лог AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 24.11.2013 04:09:42

также пришлите текстовые файлы выполнения скрипта в uVS - они будут в папке с программой и имеют вид сегодняшней даты\времени.txt

Правильно заданный вопрос - это уже половина ответа

[ Закрыто ] win32/dorkbot.b , Срочная помошь!