Форум esetnod32.ru [тема: ОWin32/Dorkbot.B червь - очистка невозможна] http://forum.esetnod32.ru Новое в теме ОWin32/Dorkbot.B червь - очистка невозможна форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 15 Apr 2026 22:45:34 +0300 ОWin32/Dorkbot.B червь - очистка невозможна ОWin32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(908) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
за сутки новых активных угроз не добавилось, последняя активная была вчера


====quote====
19.06.2013 0:33:43 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mspaint.exe(1988) модифицированный Win32/Dorkbot.B червь очистка невозможна
=============


====quote====
Количество просканированных объектов: 338
Количество обнаруженных угроз: 0
Время выполнения: 14:15:48  Общее время проверки: 36 сек. (00:00:36)
=============

выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
20.06.2013 09:37:21, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9648/message68980/ http://forum.esetnod32.ru/messages/forum6/topic9648/message68980/ Thu, 20 Jun 2013 09:37:21 +0400 Обнаружение вредоносного кода и ложные срабатывания ОWin32/Dorkbot.B червь - очистка невозможна ОWin32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(908) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
кажется чисто
угрозы.txt
скан ОП.txt
20.06.2013 09:28:59, sharap.]]> http://forum.esetnod32.ru/messages/forum6/topic9648/message68979/ http://forum.esetnod32.ru/messages/forum6/topic9648/message68979/ Thu, 20 Jun 2013 09:28:59 +0400 Обнаружение вредоносного кода и ложные срабатывания ОWin32/Dorkbot.B червь - очистка невозможна ОWin32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(908) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
судя по образу все чисто.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 
;uVS v3.80.6 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\WNE76HLZ\S[1].JS
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\WNE76HLZ\S[1].JS
=============
без перезагрузки, пишем о старых и новых проблемах.
------------
добавьте новый лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

+
добавьте новый скан в ESET NO32 только оперативной памяти.
20.06.2013 08:40:26, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9648/message68978/ http://forum.esetnod32.ru/messages/forum6/topic9648/message68978/ Thu, 20 Jun 2013 08:40:26 +0400 Обнаружение вредоносного кода и ложные срабатывания ОWin32/Dorkbot.B червь - очистка невозможна ОWin32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(908) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
образ в безопасном режиме
YOUR-8C35FC777A_2013-06-20_08-38-29.7z
20.06.2013 08:10:31, sharap.]]> http://forum.esetnod32.ru/messages/forum6/topic9648/message68977/ http://forum.esetnod32.ru/messages/forum6/topic9648/message68977/ Thu, 20 Jun 2013 08:10:31 +0400 Обнаружение вредоносного кода и ложные срабатывания ОWin32/Dorkbot.B червь - очистка невозможна ОWin32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(908) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 

;uVS v3.80.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\B.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\C.EXE
=============
перезагрузитесь в безопасный режим, и сделайте образ автозапуска из безопасного режима
19.06.2013 10:56:17, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9648/message68951/ http://forum.esetnod32.ru/messages/forum6/topic9648/message68951/ Wed, 19 Jun 2013 10:56:17 +0400 Обнаружение вредоносного кода и ложные срабатывания ОWin32/Dorkbot.B червь - очистка невозможна ОWin32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(908) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
добавил
угрозы.txt
2013-06-19_15-40-04_log.txt
YOUR-8C35FC777A_2013-06-19_15-32-54.7z
19.06.2013 10:49:06, sharap.]]> http://forum.esetnod32.ru/messages/forum6/topic9648/message68950/ http://forum.esetnod32.ru/messages/forum6/topic9648/message68950/ Wed, 19 Jun 2013 10:49:06 +0400 Обнаружение вредоносного кода и ложные срабатывания ОWin32/Dorkbot.B червь - очистка невозможна ОWin32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(908) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
1. добавьте новый лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

2. добавьте логи выполнения скриптов из папки uVS
файлы с именем дата_времяlog.txt

3. выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 
;uVS v3.80.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
REGT 5
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\MICROSOFT\ZXTWTV.EXE
crimg
=============
без перезагрузки, добавьте образ, котоый будет создан автоматически
------------
19.06.2013 09:49:37, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9648/message68949/ http://forum.esetnod32.ru/messages/forum6/topic9648/message68949/ Wed, 19 Jun 2013 09:49:37 +0400 Обнаружение вредоносного кода и ложные срабатывания ОWin32/Dorkbot.B червь - очистка невозможна ОWin32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(908) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
новый образ
YOUR-8C35FC777A_2013-06-19_13-36-31.7z
19.06.2013 08:58:29, sharap.]]> http://forum.esetnod32.ru/messages/forum6/topic9648/message68944/ http://forum.esetnod32.ru/messages/forum6/topic9648/message68944/ Wed, 19 Jun 2013 08:58:29 +0400 Обнаружение вредоносного кода и ложные срабатывания ОWin32/Dorkbot.B червь - очистка невозможна ОWin32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(908) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
добавьте новый образ автозапуска.
18.06.2013 19:49:16, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9648/message68932/ http://forum.esetnod32.ru/messages/forum6/topic9648/message68932/ Tue, 18 Jun 2013 19:49:16 +0400 Обнаружение вредоносного кода и ложные срабатывания ОWin32/Dorkbot.B червь - очистка невозможна ОWin32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(908) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
После всех действий
проблема осталась
mbam-log-2013-06-18 (22-27-13).txt

18.06.2013 19:35:41, sharap.]]> http://forum.esetnod32.ru/messages/forum6/topic9648/message68931/ http://forum.esetnod32.ru/messages/forum6/topic9648/message68931/ Tue, 18 Jun 2013 19:35:41 +0400 Обнаружение вредоносного кода и ложные срабатывания ОWin32/Dorkbot.B червь - очистка невозможна ОWin32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(908) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 
;uVS v3.80.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\CAFEF9.EXE
addsgn 9252772A156AC1CC0BB4514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 8 svhost_vir
bl 9F22D076C25F3C9FFD546131C49EC030 49152
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\CAFEF9.EXE
addsgn A7679B1991DAC527FB5FBB91DE8912063086B9B489F90A348981C5BF45B2990D239CDE5B7B179D4A36F05CDE463D54B6719DE871487E446D2DFCA1FB25472270 8 Backdoor.Win32.Androm.xrv [Kaspersky]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\SCREENSAVERPRO.SCR
bl 9D48051D9C3E9423BCB2D19822AF9137 147968
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\SCREENSAVERPRO.SCR
hide %SystemDrive%\PROGRAM FILES\HDMS\WINPCAP_4_1_1.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\MICROSOFT\DXTWTZ.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\MICROSOFT\YXTWTU.EXE
chklst
delvir
delall TFNCKY.EXE
deltmp
delnfr
czoo
regt 5
restart
=============
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
18.06.2013 13:16:21, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9648/message68918/ http://forum.esetnod32.ru/messages/forum6/topic9648/message68918/ Tue, 18 Jun 2013 13:16:21 +0400 Обнаружение вредоносного кода и ложные срабатывания ОWin32/Dorkbot.B червь - очистка невозможна ОWin32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(908) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Оперативная память = winlogon.exe(908) - модифицированный Win32/Dorkbot.B червь - очистка невозможна
помогите решить проблему лог в прищепке
YOUR-8C35FC777A_2013-06-18_14-39-10.7z
18.06.2013 13:10:07, sharap.]]> http://forum.esetnod32.ru/messages/forum6/topic9648/message68917/ http://forum.esetnod32.ru/messages/forum6/topic9648/message68917/ Tue, 18 Jun 2013 13:10:07 +0400 Обнаружение вредоносного кода и ложные срабатывания