Оперативная память - модифицированный Win32/Dorkbot.B червь - очистка невозможна , Вирус

RSS

Сообщений: 18

Баллов: 9

Регистрация: 26.10.2012

Размещено 26.10.2012 11:39:19

Пишет

Обнаружена угроза в памяти!

Обьект:
Оперативная память=winlogon.exe(616)
Угроза:
модифицированный Win32/Dorkbot.B червь
Информация:
очистка невозможна

Ответы

Пред. 1 2 3 4 След.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 26.10.2012 14:18:40

Удалите найденное, перезагрузитесь. Затем выполните скрипт в uVS:

Цитата
;;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 adddir %SystemDrive%\USERS\VITALICOK adddir %SystemDrive%\USERS\VITALICOK\APPDATA\ROAMING crimg

В папке с uVS создастся новый образ автозапуска. Прикрепить его сюда.

Правильно заданный вопрос - это уже половина ответа

Сообщений: 18

Баллов: 9

Регистрация: 26.10.2012

Размещено 26.10.2012 14:40:03

Цитата
santy пишет: здесь помимо Dorkbot похоже еще куча вирусни. Можете сделать образ из под Live.CD?

вы об этом?
"Распакуйте файл iso из архива который вы скачали (если качали архив)
1.заходите в неро, для простоты можно использовать неро экспресс, меню - записать диск из образа - далее указываете iso файл, - далее, выбираете привод для записи,-нажимаем прожиг, процесс пошел.
2.заходите в Неро, файл - создать новый проект - записать диск из образа - указываем файл iso - доюавляем -жмем прожиг.
3.Выбираем iso файл в проводнике - открыть с помощью....- указываем Неро, -нажимаем прожиг."

Сообщений: 18

Баллов: 9

Регистрация: 26.10.2012

Размещено 26.10.2012 14:43:40

Цитата
Арвид пишет: В папке с uVS создастся новый образ автозапуска. Прикрепить его сюда.

http://rghost.ru/41165740

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 26.10.2012 14:49:55

Думаю обойдемся без LiveCD. Выполните скрипт:

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl 086EFD56DECAF2D5345CCD84CE35BB01 87040 addsgn 19FC11F86F296759439BE1FAF4218AA5658A5D7D29BA1FB965C16633F096711E49172BB0BE559DC2FB68AE8A46161312BDD7E872BDF9A52C2D1DA4C7E7212273 16 Virus9087 bl 926B749219E33D4EF2D8996DCCE22354 24064 addsgn 98EC9F73516A4CD103E4EEB18C1116052529FCC6C9FAF79F81C3C5D65A29444C1357C33D3EAAA8411BC08477401649FA2D37467655DAE5A7C1F4608BAFF22373 8 UDS:DangerousObject.Multi.Generic bl 599F44D8977991D33A51498FAFF56865 61440 addsgn 19FC11F86F296759439BE1FAF4210E94658A5DF918BA1FB965C166AFC196711E49172B3447559DC2FB681A8E4616131249DAE872BD4DA12C2D1DA4C7C7182273 15 Carberp bl B8CD29A76DA2E4747FF9DE8C1DC5202B 81408 bl BA8F2AD1D8BD326FD7CDA82EE359FD01 139264 addsgn A7679BF0AA0284214AD4C649A1881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C73D0C59F75C4C32EF4CA40A214DA3BE4AC965B2FC706AB7E 8 Win32:Dorkbot-CK [Trj] [Avast] bl 9ED2A9C9D88CDB0CB8263D72F415084B 93696 bl 135061C99B7A584A19EDFED64493A5A7 28672 addsgn 98EC9F5B436A4CD10B94EEB1A3CDD742658AF4F689FAD87D4C8485BC58D6714C4BD284173EBD2D5F2B80EE9F2C1623FA82EAE83215DA582A2D77A47F2F873473 16 HEUR:Trojan.Win32.Generic [Kaspersky] bl 0D4B7F4C1731C91DFF56AFCE0ECF37C5 106496 addsgn 9252777A176AC1CC0BE4534E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B43F6543E021E8A2FD3ECBE3D1649ACFE1CEC21051DB32F2D77A4BF5796B2E3 8 Virus987 bl 67A759FB9D36B405DD14E6493E89A012 28160 bl A3DBC7C20B32C9E5AE74B05BBC0C3BAE 12264 bl 7D5CDF100F489845CF5E212E8AE16693 92160 bl 9728FB40C31DAD4B6833711C5A3FCF8C 74752 adddir %SystemDrive%\USERS\VITALICOK adddir %SystemDrive%\USERS\VITALICOK\APPDATA\ROAMING chklst delvir deltmp delnfr delref %Sys32%\DRIVERS\152D26016F8B7E2E.SYS restart

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 086EFD56DECAF2D5345CCD84CE35BB01 87040
addsgn 19FC11F86F296759439BE1FAF4218AA5658A5D7D29BA1FB965C16633F096711E49172BB0BE559DC2FB68AE8A46161312BDD7E872BDF9A52C2D1DA4C7E7212273 16 Virus9087
bl 926B749219E33D4EF2D8996DCCE22354 24064
addsgn 98EC9F73516A4CD103E4EEB18C1116052529FCC6C9FAF79F81C3C5D65A29444C1357C33D3EAAA8411BC08477401649FA2D37467655DAE5A7C1F4608BAFF22373 8 UDS:DangerousObject.Multi.Generic
bl 599F44D8977991D33A51498FAFF56865 61440
addsgn 19FC11F86F296759439BE1FAF4210E94658A5DF918BA1FB965C166AFC196711E49172B3447559DC2FB681A8E4616131249DAE872BD4DA12C2D1DA4C7C7182273 15 Carberp
bl B8CD29A76DA2E4747FF9DE8C1DC5202B 81408
bl BA8F2AD1D8BD326FD7CDA82EE359FD01 139264
addsgn A7679BF0AA0284214AD4C649A1881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C73D0C59F75C4C32EF4CA40A214DA3BE4AC965B2FC706AB7E 8 Win32:Dorkbot-CK [Trj] [Avast]
bl 9ED2A9C9D88CDB0CB8263D72F415084B 93696
bl 135061C99B7A584A19EDFED64493A5A7 28672
addsgn 98EC9F5B436A4CD10B94EEB1A3CDD742658AF4F689FAD87D4C8485BC58D6714C4BD284173EBD2D5F2B80EE9F2C1623FA82EAE83215DA582A2D77A47F2F873473 16 HEUR:Trojan.Win32.Generic [Kaspersky]
bl 0D4B7F4C1731C91DFF56AFCE0ECF37C5 106496
addsgn 9252777A176AC1CC0BE4534E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B43F6543E021E8A2FD3ECBE3D1649ACFE1CEC21051DB32F2D77A4BF5796B2E3 8 Virus987
bl 67A759FB9D36B405DD14E6493E89A012 28160
bl A3DBC7C20B32C9E5AE74B05BBC0C3BAE 12264
bl 7D5CDF100F489845CF5E212E8AE16693 92160
bl 9728FB40C31DAD4B6833711C5A3FCF8C 74752
adddir %SystemDrive%\USERS\VITALICOK 
adddir %SystemDrive%\USERS\VITALICOK\APPDATA\ROAMING
chklst
delvir
deltmp
delnfr
delref %Sys32%\DRIVERS\152D26016F8B7E2E.SYS
restart

Правильно заданный вопрос - это уже половина ответа

Сообщений: 18

Баллов: 9

Регистрация: 26.10.2012

Размещено 26.10.2012 14:59:10

http://rghost.ru/private/41166007/632ed7183fbc8d95c2acb5ca0cec7a47

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 26.10.2012 15:01:40

Выполните скрипт в Безопасном режиме. После перезагрузки сделайте новый образ автозапуска в Безопасном режиме.

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 26.10.2012 15:04:59

vitalicok
сделайте проверку для файла ”UC„Л‰•Ї.EXE
C:\USERS\VITALICOK\DESKTOP\”UC„Л‰•Ї.EXE
На http://virusscan.jotti.org/ru
ссылку на станицу с результатом проверки дайте в теме.

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 26.10.2012 16:12:42

Цитата

vitalicok пишет:

Цитата
santy пишет: здесь помимо Dorkbot похоже еще куча вирусни. Можете сделать образ из под Live.CD?

вы об этом?

про winpe&uVS
http://forum.esetnod32.ru/forum27/topic2102/
возможно понадобится в данной тем,
поскольку много блокировок доступа к файлам.

Цитата
Безопасное удаление ссылок на ВСЕ отсутствующие объекты... (!) Не удалось открыть ключ: [Отказано в доступе. ] HKLM\System\CurrentControlSet\Services\152d26016f8b7e2e -------------------------------------------------------- delref %Sys32%\DRIVERS\152D26016F8B7E2E.SYS -------------------------------------------------------- Удаление ссылок на файл: C:\WINDOWS\SYSTEM32\DRIVERS\152D26016F8B7E2E.SYS (!) Не удалось открыть ключ: [Отказано в доступе. ] HKLM\System\CurrentControlSet\Services\152d26016f8b7e2e Изменено/удалено объектов автозапуска 0 из 0 \| Удалено файлов: 0 из 0

Цитата

Безопасное удаление ссылок на ВСЕ отсутствующие объекты...
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKLM\System\CurrentControlSet\Services\152d26016f8b7e2e
--------------------------------------------------------
delref %Sys32%\DRIVERS\152D26016F8B7E2E.SYS
--------------------------------------------------------
Удаление ссылок на файл: C:\WINDOWS\SYSTEM32\DRIVERS\152D26016F8B7E2E.SYS
(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKLM\System\CurrentControlSet\Services\152d26016f8b7e2e
Изменено/удалено объектов автозапуска 0 из 0 | Удалено файлов: 0 из 0

или HIPS у вас защищает доступ к каталогу drivers?

[ Как создать образ автозапуска? ]

Сообщений: 18

Баллов: 9

Регистрация: 26.10.2012

Размещено 26.10.2012 17:04:41

Цитата
RP55 RP55 пишет: vitalicok сделайте проверку для файла ”UC„Л‰•Ї.EXE C:\USERS\VITALICOK\DESKTOP\”UC„Л‰•Ї.EXE На http://virusscan.jotti.org/ru ссылку на станицу с результатом проверки дайте в теме.

http://virusscan.jotti.org/ru/scanresult/d5913d60b19b8298a85f197f0f10c43ed5d18a73

Сообщений: 18

Баллов: 9

Регистрация: 26.10.2012

Размещено 26.10.2012 17:06:36

Цитата
santy пишет: или HIPS у вас защищает доступ к каталогу drivers?

вроде как нет

Пред. 1 2 3 4 След.