Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] win32/Dorkbot.B в оперативной памяти (winlogon.exe) очистка невозможна

1 2 След.
RSS
 
Bugster2000
Bugster2000
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 24.11.2011
Размещено 24.11.2011 21:17:09
Добрый вечер!
Образ автозапуска в прикрепленном файле.
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 14377
Регистрация: 16.03.2010
Размещено 24.11.2011 21:21:37
закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

Код

;uVS v3.72 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE
addsgn 1AB2A69A5583348CF42BC4A10C68F15C2562DC6489FA2CB80C862535152AF809C79C86B305108D34380BF197CDD8B6AF69DC9D7EDCAFB8D368934FCA0043C272 8 nod_pass_finder_vir

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\KWPWPG.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\LSASS.EXE
chklst
delvir
deltmp
delnfr
fixvbr C: 5
restart

перезагрузка, пишем о старых и новых проблемах.
[ Как создать образ автозапуска? ]
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 24.11.2011 21:22:02
В программе которую скачали выше, запускаем еще раз, только теперь Меню Скрипт выполнить скрипт находящийся в буфере обмена

И вставляем текст скрипта

ПЕРЕД ВЫПОЛНЕНИКМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!

Код
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\KWPWPG.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\LSASS.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\XXPWPT.EXE
delall %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\SESNAESTBRE.EXE
delall %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\SESNAESTTOO.EXE
delall E:\САША\САША\САШАOH10.EXE
zoo %SystemDrive%\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE
bl 0EA8529B45B2D02BFE8DDEF94ABC283E 1892352
delall %SystemDrive%\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\KAKAO4\GUZA.EXE
bl DDE8FC288D3A0471D7E9A8631E76A9E9 57344
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\KAKAO4\GUZA.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\PICKAVAMMATERINA\HDZ.EXE
bl 5A52D70D6DC3F00439C7E58B4CD01E49 57344
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\PICKAVAMMATERINA\HDZ.EXE
bl E90AB11E9276357EA3DE79D51615FCD1 787241
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS.0\ДОКУМЕНТЫ\TNOD_[TFILE.RU]\TNOD-1.4.1.0-FINAL-SETUP.EXE
regt 1
regt 2
regt 3
regt 7
regt 18
deltmp
delnfr
restart

И жмем выполнить.

ПК перезагрузится.
В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда [email protected]

Спасибо.
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 14377
Регистрация: 16.03.2010
Размещено 24.11.2011 21:22:30
+
выполните сканирование в МБАМ
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
 
Bugster2000
Bugster2000
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 24.11.2011
Размещено 24.11.2011 22:35:32
Выполнил все операции.Архив отослал.
Malwarebytes нашел 13 вредоносных программ, что с ними делать?
Тестовый лог файла в прилепленном файле
Изменено: Bugster2000 - 24.11.2011 22:44:57
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 24.11.2011 22:47:48
Оставить только вот это

Код
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.


Остальное удалить и ПК перезагрузить.

Сообщить о результате.
 
Bugster2000
Bugster2000
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 24.11.2011
Размещено 24.11.2011 23:10:03
Случайно удалил все. Система работает. Nod  обнаружил вирус в оперативной памяти.
Модифицированный Win 32/Carberp.A () - очистка невозможна
Оперативная память » explorer.exe(492) - модифицированный Win32/Carberp.A троянская программа - очистка невозможна
Образ автозапуска в прикрепленном файле.
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 24.11.2011 23:19:12
Цитата
Bugster2000 пишет:
Nod обнаружил вирус в оперативной памяти.
Выполните - повторно! Первый скрипт написанный santy.
Если, машина не выполнит перезагрузку - выполните перезагрузку принудительно!
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 24.11.2011 23:20:52
После выполнения скрипта:
В Обязательном порядке !
Выполните рекомендации:
http://forum.esetnod32.ru/forum9/topic751/
 
Bugster2000
Bugster2000
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 24.11.2011
Размещено 24.11.2011 23:29:14
Огромное спасибо!
Все хорошо, вирусов нет!
 
1 2 След.
Читают тему