santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Оперативная память » winlogon.exe(916) - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.02.2013 21:02:06

тогда сделайте образ автозапуска с помощью Winpe&uVS
http://forum.esetnod32.ru/forum27/topic2102/

или

проверьте систему утилитой ESETDorkbotBCleaner.exe
http://www.eset.com/download/utilities/detail/family/179/
после завершения проверки системы данной утилиткой
перегрузите систему,
и выполните сканирование в ESET NOD32 только оперативной памяти
лог сканирования добавьте на форум.

Изменено: santy - 22.02.2013 21:32:16

[ Как создать образ автозапуска? ]

Перейти

Оперативная память » winlogon.exe(916) - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.02.2013 18:51:43

образ вас просили сделать в безопасном режиме системы.
http://forum.esetnod32.ru/forum9/topic5917/

вы сделали в нормальном.

Цитата
Boot: Normal

[ Как создать образ автозапуска? ]

Перейти

Оперативная память » winlogon.exe(916) - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.02.2013 11:55:52

+
удалите в мбам все найденное, за исключением

Цитата
Объекты реестра обнаружены: 1 HKLM\SOFTWARE\Microsoft\Security Center\|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

[ Как создать образ автозапуска? ]

Перейти

Оперативная память » winlogon.exe(916) - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.02.2013 09:28:05

Цитата
22/02 2013 03:14:07 ?????? ???????????? ??????, ??????????? ??? ??????? ??????? ???? ??????????? ?????? = winlogon.exe(920) ???????????????? Win32/Dorkbot.B ????? ??????? ?????????? SPUTNIK-FFD90E5\???????

ок, сделайте образ из безопасного режима системы.

[ Как создать образ автозапуска? ]

Перейти

Не обновляется антивирус...

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.02.2013 08:44:26

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

Оперативная память » winlogon.exe(916) - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.02.2013 05:49:20

1. добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

2. сделайте образ автозапуска из безопасного режима системы

3. выполните быстрое сканирование в малваребайт

[ Как создать образ автозапуска? ]

Перейти

Оперативная память » winlogon.exe(916) - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.02.2013 00:00:35

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.7 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24NAQ.EXE addsgn 1A38649A5583C58CF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 tr.0103 zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-106669\W68V12.EXE addsgn 1A08639A5583C58CF42B254E3143FE84C9A2FFF689592784C5C34CB1642A314CAA02F3AB7E551454077CC49FCF2361063DDF614F7126F02C4BFBB17F3B462215 8 BackDoor.Ddoser.131 [DrWeb] zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\NEPRO0XZ.EXE zoo %SystemDrive%\PROGRAM FILES\WEBMONEY\MISC\WMADVISOR.EXE addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC38506CA82 8 Trojan.BtcMine.25 [DrWeb] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЖУРАБЕК\APPLICATION DATA\A2.EXE addsgn A7679B1BB9B64D720B13EB4D64C812054F8A03E3E54A5F780C862954A02F8EB3A02AC7977E559D3C3747C167D21649FABA9A1CEA55DAB0A768838F6A3F8F6787 8 BackDoor.BlackEnergy.24 [DrWeb] delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24NAQ.EXE adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ЖУРАБЕК\APPLICATION DATA delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЖУРАБЕК\APPLICATION DATA\A2.EXE delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\NEPRO0XZ.EXE delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-106669\W68V12.EXE hide %SystemDrive%\PROGRAM FILES\WEBMONEY\MISC\WMADVISOR.EXE chklst delvir deltmp delnfr regt 5 restart

Код

;uVS v3.77.7 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24NAQ.EXE
addsgn 1A38649A5583C58CF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 tr.0103
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-106669\W68V12.EXE
addsgn 1A08639A5583C58CF42B254E3143FE84C9A2FFF689592784C5C34CB1642A314CAA02F3AB7E551454077CC49FCF2361063DDF614F7126F02C4BFBB17F3B462215 8 BackDoor.Ddoser.131 [DrWeb]
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\NEPRO0XZ.EXE
zoo %SystemDrive%\PROGRAM FILES\WEBMONEY\MISC\WMADVISOR.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC38506CA82 8 Trojan.BtcMine.25 [DrWeb]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЖУРАБЕК\APPLICATION DATA\A2.EXE
addsgn A7679B1BB9B64D720B13EB4D64C812054F8A03E3E54A5F780C862954A02F8EB3A02AC7977E559D3C3747C167D21649FABA9A1CEA55DAB0A768838F6A3F8F6787 8 BackDoor.BlackEnergy.24 [DrWeb]
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24NAQ.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ЖУРАБЕК\APPLICATION DATA
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЖУРАБЕК\APPLICATION DATA\A2.EXE
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\NEPRO0XZ.EXE
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-106669\W68V12.EXE
hide %SystemDrive%\PROGRAM FILES\WEBMONEY\MISC\WMADVISOR.EXE
chklst
delvir
deltmp
delnfr
regt 5
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Помогите удалить вирусы, ESET видит а сделать ничего не может, Ничего не могу сделать с этой троицей

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.02.2013 14:13:20

да, резко не надо переходить с уже работающей системы.

если есть возможность - разверните ERA 5 на другой машине, добавьте несколько клиентов на новый сервер администрирования, поработайте с новой консолью, оцените новые возможности, недочеты если есть,
и затем принимайте решение.
-------------
у меня, обычно две ERA работает. основной сервер, и сервер для администрирования новых продуктов. и вот они плавно сменяют друг друга.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Помогите удалить вирусы, ESET видит а сделать ничего не может, Ничего не могу сделать с этой троицей

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.02.2013 12:49:30

ясно, похоже в 4 версии нет параметра дата последнего алерта/ предупреждения / по данному клиенту

в 5 ERA есть такой параметр. в английской редакции это Last Threat Alert Data.
---------------
поэтому не могу вам сказать, какой свежести угроза Voltar по данному клиенту.

В любом случае
за вирусной активностью клиентов в сети лучше всего вести контроль по вкладке "журнал угроз"

а за общим состоянием клиентов: статусом, версии антивира, дата последнего коннекта, версия баз сигнатур и проч. удобно следить по вкладке клиенты.

Изменено: santy - 21.02.2013 12:50:03

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Помогите избавиться от баннера addmotionblock.ru

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.02.2013 11:27:29

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.7 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE setdns Подключение по локальной сети 5\4\{5090E9F4-0F84-43F4-8F46-508A44C191E1}\ setdns Подключение по локальной сети\4\{803360B6-EB3D-45EB-A58D-4B040859273E}\ delref HTTP://DASEARCH.RU deltmp delnfr EXEC cmd /c"ipconfig /flushdns" restart

Код

;uVS v3.77.7 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
setdns Подключение по локальной сети 5\4\{5090E9F4-0F84-43F4-8F46-508A44C191E1}\
setdns Подключение по локальной сети\4\{803360B6-EB3D-45EB-A58D-4B040859273E}\
delref HTTP://DASEARCH.RU
deltmp
delnfr
EXEC cmd /c"ipconfig /flushdns"
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти