ОWin32/Dorkbot.B червь - очистка невозможна - Форум технической поддержки ESET NOD32

Сообщений: 16

Баллов: 8

Регистрация: 16.05.2012

Размещено 18.06.2013 13:10:07

Оперативная память = winlogon.exe(908) - модифицированный Win32/Dorkbot.B червь - очистка невозможна
помогите решить проблему лог в прищепке

Прикрепленные файлы

YOUR-8C35FC777A_2013-06-18_14-39-10.7z (279.52 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.06.2013 13:16:21

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.80.5 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\CAFEF9.EXE addsgn 9252772A156AC1CC0BB4514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 8 svhost_vir bl 9F22D076C25F3C9FFD546131C49EC030 49152 delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\CAFEF9.EXE addsgn A7679B1991DAC527FB5FBB91DE8912063086B9B489F90A348981C5BF45B2990D239CDE5B7B179D4A36F05CDE463D54B6719DE871487E446D2DFCA1FB25472270 8 Backdoor.Win32.Androm.xrv [Kaspersky] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\SCREENSAVERPRO.SCR bl 9D48051D9C3E9423BCB2D19822AF9137 147968 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\SCREENSAVERPRO.SCR hide %SystemDrive%\PROGRAM FILES\HDMS\WINPCAP_4_1_1.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\MICROSOFT\DXTWTZ.EXE adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\ delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\MICROSOFT\YXTWTU.EXE chklst delvir delall TFNCKY.EXE deltmp delnfr czoo regt 5 restart

Код

;uVS v3.80.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\CAFEF9.EXE
addsgn 9252772A156AC1CC0BB4514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 8 svhost_vir
bl 9F22D076C25F3C9FFD546131C49EC030 49152
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\CAFEF9.EXE
addsgn A7679B1991DAC527FB5FBB91DE8912063086B9B489F90A348981C5BF45B2990D239CDE5B7B179D4A36F05CDE463D54B6719DE871487E446D2DFCA1FB25472270 8 Backdoor.Win32.Androm.xrv [Kaspersky]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\SCREENSAVERPRO.SCR
bl 9D48051D9C3E9423BCB2D19822AF9137 147968
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\SCREENSAVERPRO.SCR
hide %SystemDrive%\PROGRAM FILES\HDMS\WINPCAP_4_1_1.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\MICROSOFT\DXTWTZ.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\MICROSOFT\YXTWTU.EXE
chklst
delvir
delall TFNCKY.EXE
deltmp
delnfr
czoo
regt 5
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

Изменено: santy - 18.06.2013 13:28:33

[ Как создать образ автозапуска? ]

Сообщений: 16

Баллов: 8

Регистрация: 16.05.2012

Размещено 18.06.2013 19:35:41

После всех действий
проблема осталась

Прикрепленные файлы

червь.jpg (215.69 КБ)

mbam-log-2013-06-18 (22-27-13).txt (3.78 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.06.2013 19:49:16

добавьте новый образ автозапуска.

[ Как создать образ автозапуска? ]

Сообщений: 16

Баллов: 8

Регистрация: 16.05.2012

Размещено 19.06.2013 08:58:29

новый образ

Прикрепленные файлы

YOUR-8C35FC777A_2013-06-19_13-36-31.7z (285.03 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.06.2013 09:49:37

1. добавьте новый лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

2. добавьте логи выполнения скриптов из папки uVS
файлы с именем дата_времяlog.txt

3. выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.80.5 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE REGT 5 adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\ delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\MICROSOFT\ZXTWTV.EXE crimg

Код

;uVS v3.80.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
REGT 5
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\MICROSOFT\ZXTWTV.EXE
crimg

без перезагрузки, добавьте образ, котоый будет создан автоматически
------------

Изменено: santy - 19.06.2013 09:52:26

[ Как создать образ автозапуска? ]

Сообщений: 16

Баллов: 8

Регистрация: 16.05.2012

Размещено 19.06.2013 10:49:06

добавил

Прикрепленные файлы

угрозы.txt (7.38 КБ)
2013-06-19_15-40-04_log.txt (10.32 КБ)
YOUR-8C35FC777A_2013-06-19_15-32-54.7z (283.89 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.06.2013 10:56:17

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.80.5 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\B.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\C.EXE

Код


;uVS v3.80.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\B.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\C.EXE

перезагрузитесь в безопасный режим, и сделайте образ автозапуска из безопасного режима

[ Как создать образ автозапуска? ]

Сообщений: 16

Баллов: 8

Регистрация: 16.05.2012

Размещено 20.06.2013 08:10:31

образ в безопасном режиме

Прикрепленные файлы

YOUR-8C35FC777A_2013-06-20_08-38-29.7z (264.95 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.06.2013 08:40:26

судя по образу все чисто.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.80.6 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\WNE76HLZ\S[1].JS delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\WNE76HLZ\S[1].JS

Код

;uVS v3.80.6 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\WNE76HLZ\S[1].JS
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\WNE76HLZ\S[1].JS

без перезагрузки, пишем о старых и новых проблемах.
------------
добавьте новый лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

+
добавьте новый скан в ESET NO32 только оперативной памяти.

[ Как создать образ автозапуска? ]

[ Закрыто ] ОWin32/Dorkbot.B червь - очистка невозможна , Оперативная память = winlogon.exe(908) - модифицированный Win32/Dorkbot.B червь - очистка невозможна