Dorkbot.B помогите избавиться - Форум технической поддержки ESET NOD32

Сообщений: 10

Баллов: 5

Регистрация: 25.10.2012

Размещено 25.10.2012 10:51:32

появилось "оперативная память = winlogon.exe (984) модифицированный win32/Dorkbot.B червь, очистка невозможна"
на внешнем харде из-за червя все файлы исчезли, пришлось отформатировать его.
компьютер страшно глючит

образ автозапуска uVS

Прикрепленные файлы

MICROSOF-C77548_2012-10-25_16-39-55.7z (342.17 КБ)

Изменено: daria07 - 25.10.2012 10:51:43

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 25.10.2012 11:02:12

1. добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic682/

2. сделайте образ автозапуска из безопасного режима системы [safe mode]

[ Как создать образ автозапуска? ]

Сообщений: 10

Баллов: 5

Регистрация: 25.10.2012

Размещено 25.10.2012 12:09:55

вот первый лог

Прикрепленные файлы

mbam-log-2012-10-25 (18-10-03).txt (6.63 КБ)

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 25.10.2012 12:32:02

удалите найденное в мбам, кроме

Цитата
Объекты реестра обнаружены: 1 HKLM\SOFTWARE\Microsoft\Security Center\|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

далее,
перегрузите систему, и еще раз выполните сканирование в мбам
+
добавьте лог журнала обнаружения угроз
(уточняю ссылку)
http://forum.esetnod32.ru/forum9/topic1408/

Изменено: santy - 25.10.2012 12:32:58

[ Как создать образ автозапуска? ]

Сообщений: 10

Баллов: 5

Регистрация: 25.10.2012

Размещено 25.10.2012 13:01:44

лог журнала обнаружения угроз

Прикрепленные файлы

угрозы.txt (6.29 КБ)

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 25.10.2012 13:17:35

судя по журналу угроз - активных угроз в памяти нет сегодня.

Цитата
25.10.2012 18:06:25 Защита в режиме реального времени файл C:\WINDOWS\SYSTEM32\66.exe Win32/AutoRun.KS червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке запуска файла следующим приложением: C:\Documents and Settings\Admin\Мои документы\програмки\Malwarebytes' Anti-Malware\mbam.exe. 25.10.2012 18:06:25 Защита в режиме реального времени файл C:\WINDOWS\SYSTEM32\37.exe Win32/Injector.XXS троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке запуска файла следующим приложением: C:\Documents and Settings\Admin\Мои документы\програмки\Malwarebytes' Anti-Malware\mbam.exe. 24.10.2012 22:33:11 Защита в режиме реального времени файл C:\System Volume Information\_restore{CE9CCE34-6117-44F3-AB57-9B0CBDC8C7E9}\RP439\A0162168.exe модифицированный Win32/Injector.XRY троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\System32\svchost.exe. 24.10.2012 21:00:59 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = winlogon.exe(984) модифицированный Win32/Dorkbot.B червь очистка невозможна

Цитата

25.10.2012 18:06:25 Защита в режиме реального времени файл C:\WINDOWS\SYSTEM32\66.exe Win32/AutoRun.KS червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке запуска файла следующим приложением: C:\Documents and Settings\Admin\Мои документы\програмки\Malwarebytes' Anti-Malware\mbam.exe.
25.10.2012 18:06:25 Защита в режиме реального времени файл C:\WINDOWS\SYSTEM32\37.exe Win32/Injector.XXS троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке запуска файла следующим приложением: C:\Documents and Settings\Admin\Мои документы\програмки\Malwarebytes' Anti-Malware\mbam.exe.
24.10.2012 22:33:11 Защита в режиме реального времени файл C:\System Volume Information\_restore{CE9CCE34-6117-44F3-AB57-9B0CBDC8C7E9}\RP439\A0162168.exe модифицированный Win32/Injector.XRY троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\System32\svchost.exe.
24.10.2012 21:00:59 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = winlogon.exe(984) модифицированный Win32/Dorkbot.B червь очистка невозможна

для контроля выполните сканирование в ESETNOD32 только оперативной памяти

лог сканирования добавьте на форум.

[ Как создать образ автозапуска? ]

Сообщений: 10

Баллов: 5

Регистрация: 25.10.2012

Размещено 25.10.2012 13:40:39

вот, кстати, странные изменения в меню "пуск", которые не исчезают.
http://tau.rghost.ru/41144232/image.png

а антивирус в оперативной памяти ничего не нашел.

самого Dorkbot.B никак не удалить?

Прикрепленные файлы

угрозы2.txt (310 Б)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 25.10.2012 13:44:32

daria07
Версия вашей антивирусной базы ?

Сообщений: 10

Баллов: 5

Регистрация: 25.10.2012

Размещено 25.10.2012 13:47:24

7621 (20121024)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 25.10.2012 13:49:15

Актуальная 7625

[ Закрыто ] Dorkbot.B помогите избавиться