Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Win32/Dorkbot.B + Win32/Injector AFFI , Червь и троян не могу избавиться...

1
RSS
 
Сергей Лазарев
Сергей Лазарев
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 11.06.2013
Размещено 27.10.2013 19:12:01
Добрый день!

Node находит но не справляется:

Дaтa: 27.10.2013  Время: 18:57:41
Просканированные диски, папки и файлы: Оперативная память
Оперативная память = notepad.exe(504) - модифицированный Win32/Dorkbot.B червь - очищен удалением [1]
Оперативная память = notepad.exe(504) - модифицированный Win32/Dorkbot.B червь - очищен удалением [1]
Оперативная память = notepad.exe(504) - модифицированный Win32/Dorkbot.B червь - очищен удалением [1]
Оперативная память = svchost.exe(552) - модифицированный Win32/Injector.AFFI троянская программа - очищен удалением [1]
Оперативная память = mspaint.exe(588) - модифицированный Win32/Dorkbot.B червь - очищен удалением [1]
Оперативная память = mspaint.exe(588) - модифицированный Win32/Dorkbot.B червь - очищен удалением [1]
Оперативная память = mspaint.exe(588) - модифицированный Win32/Dorkbot.B червь - очищен удалением [1]
Оперативная память = mspaint.exe(588) - модифицированный Win32/Dorkbot.B червь - очищен удалением [1]
Оперативная память = mspaint.exe(588) - модифицированный Win32/Dorkbot.B червь - очищен удалением [1]
Количество просканированных объектов: 493
Количество обнаруженных угроз: 9
Количество очищенных объектов: 9

Сканируешь снова и опять то же самое...
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 27.10.2013 19:16:26
Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
Код
;;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl 7FB282509685C53EDF1BE190353913FB 507776
addsgn 1A8FD09A5583358CF42B254E3143FE865886FC8282903222E34AD43F91D48694759C3264ECA2E841A87A8DE943958BAD96DC6BB065BC393D6C3621EFB0E311B3 8 YandexUPD
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\DXWBYY.EXE
bl 080F4FBBCE0EBA2F82F49A94AC698BFB 91136
addsgn 1AA1489A5583C58CF42BF93AA24BF20AA04AF37348FA1F780E12465D2F179B4B57722851B3CE9D492B80E29029102FF51291F8145AB5E60C4B78CB71F7602D0C 8 UDS:DangerousObject.Multi.Generic [Kasp
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\MICROSOFT\TTHPHI.EXE
bl C528677A5A8D7815126C49D3C554F9DD 200704
addsgn 1A634B9A5583C58CF42B254E3143FE8E6082CF3FB2FED2607583C5C84397F2B50E6532DA76B81EB03AF78AF54B4E1439F6DB256EA59AB071EE72E0D038F9487D 8 Win32/Dorkbot.B [ESET-NOD32]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\MICROSOFT\ATHPHP.EXE
bl 00B6D7BEDA7CAE43B17D22BD73ED6F66 161280
addsgn 1ABD5C9A5583C58CF42B16A9448912C684CAB0B789AC756CDB4605C9576E714E231728510593E04EA04627DF0A574990798F008D7EDAB07574D480138606A7B3 8 doekvot
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\SCREENSAVERPRO.SCR
bl F082C76CF8A1C41DB23EC397B4B5B03B 1618304
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\MICROSOFT
chklst
delvir
deltmp
delnfr
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].

- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.
Правильно заданный вопрос - это уже половина ответа
 
Сергей Лазарев
Сергей Лазарев
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 11.06.2013
Размещено 27.10.2013 19:53:08
Спасибо за помощь!
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 27.10.2013 19:54:04
Чисто.
Выполните рекомендации
Правильно заданный вопрос - это уже половина ответа
 
1
Читают тему