santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Оперативная память = winlogon.exe(648) - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.02.2014 14:29:14

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Не удаляетса троянская программа в vbc.exe

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.02.2014 05:38:43

1. добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

2. добавьте образ автозапуска из безопасного режима системы

[ Как создать образ автозапуска? ]

Перейти

Оперативная память = winlogon.exe(648) - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.02.2014 21:44:09

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.81.11 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\PHOTO.EXE addsgn 925277AA026AC1CC0B34464E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Siggen4.10036 [DrWeb] zoo %SystemRoot%\TEMP\WRD-36C-3C0-572C.~LK\1.MDD addsgn 98E01FEA04685C9AD5FCAEB15708528C606E778385C9E04372B6C9856D46B24E331847E43E559DC0567CBF6F3213CA047FAAD9D37D06B23C16B0D02338733225 8 mdd.1 zoo %SystemRoot%\TEMP\WRD-36C-3C0-572C.~LK\0.MDD addsgn 98E01F2A2E6B5C9A8DCFAEB15708528C606E778385C9E04372B6C9856DF69F4D331847E43E559DC0567CBF6F3213CA047FAAD9D391DCB23C16B0D02338733225 8 mdd zoo %SystemRoot%\TEMP\POOLER\POOLER.EXE addsgn 9204779A556A147751DFAEB1EFF811F50E4A7708EF57DE9889480DECFDFDB94FD29C0B006F1C170D12860C9B7763BFD1BD7363BAD53B400822B645234DEE8E78 8 Trojan.Siggen3.39984 [DrWeb] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\FILE.EXE adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA addsgn A7679B1991D6F51E0BD4AE3879077F442503E1B722BB1FF1D03F4CB18A57304CAA2282FC7F5514749E2DC59F169F7C20FC9EE8FB509B1B6D2DFEA10AB84722FA 8 BackDoor.IRC.NgrBot.42 [DrWeb] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\SCREENSAVERPRO.SCR hide %SystemDrive%\PROGRAM FILES\MOTOROLA\MOTOCONNECTSERVICE\MOTOCONNECTSERVICE.EXE addsgn 98E01F222B6B5C9A99C9AEB15708528C606E778385C9E04372B6C9856D7EA94D331847E43E559DC0567CBF6F3213CA047FAAD9D3112BB13C16B0D02338733225 8 mdd.2 zoo %SystemRoot%\TEMP\WRD-36C-3C0-572C.~LK\2.MDD addsgn 98E01FC2E9665C9A9D98AEB15708528C606E778385C9E04372B6C9856D165C42331847E43E559DC0567CBF6F3213CA047FAAD9D35D9DBE3C16B0D02338733225 8 mdd.3 zoo %SystemRoot%\TEMP\WRD-36C-3C0-572C.~LK\3.MDD addsgn 98E01F5A0D685C9A46F4AEB15708528C606E778385C9E04372B6C9856DEEC34F331847E43E559DC0567CBF6F3213CA047FAAD9D35110B33C16B0D02338733225 8 mdd.4 zoo %SystemRoot%\TEMP\WRD-36C-3C0-572C.~LK\4.MDD addsgn A7659219B97E2673F4C16A3326C8FAD8DB75037B3FFA1F78854E799B50D6714C769E2604BDB999C26E880F9FCD16746B7DDF28056EE73D2C2DB7D6647C072273 8 Tool.BtcMine.133 [DrWeb] zoo %SystemRoot%\TEMP\69.TMP\MINERD.EXE zoo %SystemRoot%\TEMP\1C.TMP\MINERD.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://WWW.APEHA.RU ; Ask Toolbar exec C:\Program Files\AskBarDis\unins000.exe ; Adobe Media Player exec msiexec /qb /x {DE3A9DC5-9A5D-6485-9662-347162C7E4CA} deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.81.11 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\PHOTO.EXE
addsgn 925277AA026AC1CC0B34464E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Siggen4.10036 [DrWeb]

zoo %SystemRoot%\TEMP\WRD-36C-3C0-572C.~LK\1.MDD
addsgn 98E01FEA04685C9AD5FCAEB15708528C606E778385C9E04372B6C9856D46B24E331847E43E559DC0567CBF6F3213CA047FAAD9D37D06B23C16B0D02338733225 8 mdd.1

zoo %SystemRoot%\TEMP\WRD-36C-3C0-572C.~LK\0.MDD
addsgn 98E01F2A2E6B5C9A8DCFAEB15708528C606E778385C9E04372B6C9856DF69F4D331847E43E559DC0567CBF6F3213CA047FAAD9D391DCB23C16B0D02338733225 8 mdd

zoo %SystemRoot%\TEMP\POOLER\POOLER.EXE
addsgn 9204779A556A147751DFAEB1EFF811F50E4A7708EF57DE9889480DECFDFDB94FD29C0B006F1C170D12860C9B7763BFD1BD7363BAD53B400822B645234DEE8E78 8 Trojan.Siggen3.39984 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\FILE.EXE

adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA
addsgn A7679B1991D6F51E0BD4AE3879077F442503E1B722BB1FF1D03F4CB18A57304CAA2282FC7F5514749E2DC59F169F7C20FC9EE8FB509B1B6D2DFEA10AB84722FA 8 BackDoor.IRC.NgrBot.42 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\SCREENSAVERPRO.SCR
hide %SystemDrive%\PROGRAM FILES\MOTOROLA\MOTOCONNECTSERVICE\MOTOCONNECTSERVICE.EXE
addsgn 98E01F222B6B5C9A99C9AEB15708528C606E778385C9E04372B6C9856D7EA94D331847E43E559DC0567CBF6F3213CA047FAAD9D3112BB13C16B0D02338733225 8 mdd.2

zoo %SystemRoot%\TEMP\WRD-36C-3C0-572C.~LK\2.MDD
addsgn 98E01FC2E9665C9A9D98AEB15708528C606E778385C9E04372B6C9856D165C42331847E43E559DC0567CBF6F3213CA047FAAD9D35D9DBE3C16B0D02338733225 8 mdd.3

zoo %SystemRoot%\TEMP\WRD-36C-3C0-572C.~LK\3.MDD
addsgn 98E01F5A0D685C9A46F4AEB15708528C606E778385C9E04372B6C9856DEEC34F331847E43E559DC0567CBF6F3213CA047FAAD9D35110B33C16B0D02338733225 8 mdd.4

zoo %SystemRoot%\TEMP\WRD-36C-3C0-572C.~LK\4.MDD
addsgn A7659219B97E2673F4C16A3326C8FAD8DB75037B3FFA1F78854E799B50D6714C769E2604BDB999C26E880F9FCD16746B7DDF28056EE73D2C2DB7D6647C072273 8 Tool.BtcMine.133 [DrWeb]

zoo %SystemRoot%\TEMP\69.TMP\MINERD.EXE
zoo %SystemRoot%\TEMP\1C.TMP\MINERD.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.APEHA.RU

; Ask Toolbar
exec C:\Program Files\AskBarDis\unins000.exe

; Adobe Media Player
exec msiexec /qb /x {DE3A9DC5-9A5D-6485-9662-347162C7E4CA}

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] C:\WINDOWS\System32\svchost.exe.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.02.2014 11:40:07

попробуйте удалить все точки, и заново создать точку восстановления.

Цитата
17.02.2014 13:28:27 Защита в режиме реального времени файл C:\System Volume Information\_restore{8647A129-DB2F-4096-A6D9-9E44456D54C4}\RP543\A0114595.exe Win32/Toolbar.Conduit.V потенциально нежелательная программа удален - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\System32\svchost.exe. 17.02.2014 13:28:26 Защита в режиме реального времени файл C:\System Volume Information\_restore{8647A129-DB2F-4096-A6D9-9E44456D54C4}\RP543\A0114594.dll модифицированный Win32/Toolbar.Conduit.P потенциально нежелательная программа удален - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\System32\svchost.exe.

Цитата

17.02.2014 13:28:27 Защита в режиме реального времени файл C:\System Volume Information\_restore{8647A129-DB2F-4096-A6D9-9E44456D54C4}\RP543\A0114595.exe Win32/Toolbar.Conduit.V потенциально нежелательная программа удален - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\System32\svchost.exe.
17.02.2014 13:28:26 Защита в режиме реального времени файл C:\System Volume Information\_restore{8647A129-DB2F-4096-A6D9-9E44456D54C4}\RP543\A0114594.dll модифицированный Win32/Toolbar.Conduit.P потенциально нежелательная программа удален - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\System32\svchost.exe.

[ Как создать образ автозапуска? ]

Перейти

образ

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.02.2014 10:55:28

судя по логам, удалось пролечить.
что еще можно сделать.

перегрузите систему, и еще раз выполните быструю проверку в мбам,

если все будет чисто, сделайте еще раз полную проверку штатным антивирусом. + проверьте все съемные диски, что есть у вас и флэшки.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] C:\WINDOWS\System32\svchost.exe.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.02.2014 05:46:31

Цитата
16.02.2014 21:12:14 Защита в режиме реального времени файл C:\System Volume Information\_restore{8647A129-DB2F-4096-A6D9-9E44456D54C4}\RP542\A0114504.dll Win32/Toolbar.Conduit.X потенциально нежелательная программа удален - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\System32\svchost.exe. 16.02.2014 20:12:50 Защита в режиме реального времени файл C:\System Volume Information\_restore{8647A129-DB2F-4096-A6D9-9E44456D54C4}\RP542\A0114503.dll Win64/Toolbar.Conduit.B потенциально нежелательная программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\System32\svchost.exe.

Цитата

16.02.2014 21:12:14 Защита в режиме реального времени файл C:\System Volume Information\_restore{8647A129-DB2F-4096-A6D9-9E44456D54C4}\RP542\A0114504.dll Win32/Toolbar.Conduit.X потенциально нежелательная программа удален - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\System32\svchost.exe.
16.02.2014 20:12:50 Защита в режиме реального времени файл C:\System Volume Information\_restore{8647A129-DB2F-4096-A6D9-9E44456D54C4}\RP542\A0114503.dll Win64/Toolbar.Conduit.B потенциально нежелательная программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\System32\svchost.exe.

выполните еще раз сканирование с очисткой папки

Цитата
C:\System Volume Information

и добавьте новый лог журнала обнаружения угроз

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] C:\WINDOWS\System32\svchost.exe.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.02.2014 19:06:57

добавьте лог журнала обнаружения вредоносного кода
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] C:\WINDOWS\System32\svchost.exe.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.02.2014 17:14:31

там в диалоге должна быть галка, которая управляет очисткой.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] C:\WINDOWS\System32\svchost.exe.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.02.2014 17:02:22

выполните сканирование с очисткой этой папки

Цитата
C:\System Volume Information

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] C:\WINDOWS\System32\svchost.exe.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.02.2014 16:28:16

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти