Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Червь Win32/Dorkbot.D

1 2 След.
RSS
 
bragin
bragin
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 23.12.2012
Размещено 23.12.2012 23:20:15
Добрый день! Помогите пожалуйста. В общем схватил откуда-то на флешку этого червя ( Win32/Dorkbot.D) и стали скрытыми все файлы и папки на данной флешке. Помогите, пожалуйста, избавится от него и вернуть все файлы. Заранее спасибо.

Лог прилагаю.
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 24.12.2012 00:42:38
сделайте образ автозапуска в Безопасном режиме
Правильно заданный вопрос - это уже половина ответа
 
bragin
bragin
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 23.12.2012
Размещено 24.12.2012 14:33:03
Добрый день!
Простите, но не знаю как выйти в безопасный режим на Win 7.
При загрузке и нажатии клавиши F8 появляется следующий список:

1. Internal CD/DVD : TSST corp CDDVDW TS-L633C.......
2. IDE HDD: Hitachi HT S54323... - это, как я понимаю, жесткий диск. Если выбрать, запуск идет в обычном режиме.
3. Legacy Network Card...
4. USB HDD: silicon -power - (USB)... - это, как я понимаю, флэшка.
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 24.12.2012 14:40:33
Цитата
bragin пишет:
2. IDE HDD: Hitachi HT S54323... - это, как я понимаю, жесткий диск. Если выбрать, запуск идет в обычном режиме.
выбирайте его, жмите  Enter и затем сразу жмите опять F8 и там уже будет выбор варианта загрузки
Правильно заданный вопрос - это уже половина ответа
 
bragin
bragin
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 23.12.2012
Размещено 24.12.2012 19:50:53
Спасибо, все получилось!
Вот лог.
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 24.12.2012 19:53:52
Вирус видимо уже антивирус удалил.

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
Код
;;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 7E1C2A4756231D92367D39ED25FBFE99 26656
addsgn 0DF9BFCA156A43C5036E8CB164C8743EF4FFEEF93EB21DFB45C1FE76248617C9EA6233BC013318805FA80904461649FAC7FFE87255BC8BFD596F1E26C7062215 8 Html5
bl 9DDC0931EDA0F2E31C86180CBA25B0D3 96136
addsgn 1A0E3E9A5583348CF42BC4BD0CF03B442562B2EA89FA9C1D61C34EC958ED44E87D56C3201C3F99A16A91849F1F952C067D89003A4CDAB075A43240E882FADC8C 16 Ask.Com
bl 102350E7DCD3B541E4D61410AA4BD5F7 29256
addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up
bl 9CC5C24E0BCB282202C633F16402E3E1 795960
addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
chklst
delvir
delref HTTP://WWW.SMAXI.NET
delref HTTP://HOMEPAGE.PACKARDBELL.COM/RDR.ASPX?B=ACPW&L=0419&M=EASYNOTE_MH36&R=272612096106L03E3Z015F4871927N
deltmp
delnfr
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Также сделайте журнал обнаруженных угроз - http://forum.esetnod32.ru/forum9/topic1408/
Правильно заданный вопрос - это уже половина ответа
 
bragin
bragin
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 23.12.2012
Размещено 24.12.2012 21:13:00
Что-то получилось. Но вот не понятно, нужно удалять файлы (2шт), которые нашел Mbam?
 
bragin
bragin
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 23.12.2012
Размещено 24.12.2012 21:13:36
Еще один.
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 24.12.2012 21:17:17
в Мбам удалите найденное
вируса в системе и не было. антивирус удалял вирусы с флешки, которую вы на другом ПК заразили
сейчас еще проблемы остались? с файлами на флешке разобрались?
Правильно заданный вопрос - это уже половина ответа
 
bragin
bragin
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 23.12.2012
Размещено 24.12.2012 21:22:09
Да, когда я вставил флешку, он сразу их обнаружил и удалил. А файлы на флешке я не вижу.
 
1 2 След.
Читают тему