Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

win32/dorkbot.b червь, не удаляется

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 10.07.2013 10:59:13

больной номер один пускай выполняет скрипт:

Код
;uVS v3.80.12 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 addsgn 1AA3689A5583C58CF42B254E3143FE865882FC82A4056A70EFC33A89203C314CDC02F7C77E5518895E98D277BA1249FAF62F1767594AF02C7D9F082BC7067BFA 8 DorkBot zoo %SystemDrive%\USERS\МВД\APPDATA\ROAMING\MICROSOFT\SUZGZY.EXE bl 78ADE234A5F468EB52E400808660B791 140800 adddir %SystemDrive%\USERS\МВД\APPDATA\ROAMING\MICROSOFT delall %SystemDrive%\USERS\МВД\APPDATA\ROAMING\SCREENSAVERPRO.SCR chklst delvir deltmp delnfr czoo restart

Код

;uVS v3.80.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

addsgn 1AA3689A5583C58CF42B254E3143FE865882FC82A4056A70EFC33A89203C314CDC02F7C77E5518895E98D277BA1249FAF62F1767594AF02C7D9F082BC7067BFA 8 DorkBot
zoo %SystemDrive%\USERS\МВД\APPDATA\ROAMING\MICROSOFT\SUZGZY.EXE
bl 78ADE234A5F468EB52E400808660B791 140800
adddir %SystemDrive%\USERS\МВД\APPDATA\ROAMING\MICROSOFT
delall %SystemDrive%\USERS\МВД\APPDATA\ROAMING\SCREENSAVERPRO.SCR
chklst
delvir
deltmp
delnfr
czoo
restart

Правильно заданный вопрос - это уже половина ответа

Перейти

svchost грузит процессор на 100%, svchost грузит процессор на 100%

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 09.07.2013 23:46:29

проверяйте винт на наличие ошибок с помощью Виктории

Правильно заданный вопрос - это уже половина ответа

Перейти

svchost грузит процессор на 100%, svchost грузит процессор на 100%

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 09.07.2013 23:03:14

это мелочи

в ADWCleaner нажмите Delete, затем Yes
после перезагрузки сделайте лог программой TDSSkiller. Ничего оттуда не удалять. Лог будет лежать в корне системного раздела (обычно диск С).

Правильно заданный вопрос - это уже половина ответа

Перейти

win32/dorkbot.b червь, не удаляется

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 09.07.2013 19:07:10

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.80.12 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\SCREENSAVERPRO.SCR bl A20C05C72A75AB52B59A27A0D1FB2E29 205312 addsgn A7659219B9628B762FD6AEB1643707A9B4CAFC1E2104E087154E719A50D6714C769CCE8BAF159DC0CEDD7B7ECB626FFA2854E5B6C49AB0A5C82A5BCE5796B2E3 16 DorkBot zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\MICROSOFT\JSNONX.EXE bl AFD4F735108A24D5112AC1FD661BEC8B 22528 bl E67B91673D64AC917CC716F380019392 1057792 adddir %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA adddir %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\MICROSOFT chklst delvir delref HTTP://WWW.DAEMON-SEARCH.COM/STARTPAGE ; DAEMON Tools Toolbar exec C:\Program Files\DAEMON Tools Toolbar\uninst.exe deltmp delnfr czoo restart

Код

;;uVS v3.80.12 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\SCREENSAVERPRO.SCR
bl A20C05C72A75AB52B59A27A0D1FB2E29 205312
addsgn A7659219B9628B762FD6AEB1643707A9B4CAFC1E2104E087154E719A50D6714C769CCE8BAF159DC0CEDD7B7ECB626FFA2854E5B6C49AB0A5C82A5BCE5796B2E3 16 DorkBot
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\MICROSOFT\JSNONX.EXE
bl AFD4F735108A24D5112AC1FD661BEC8B 22528
bl E67B91673D64AC917CC716F380019392 1057792
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\MICROSOFT
chklst
delvir
delref HTTP://WWW.DAEMON-SEARCH.COM/STARTPAGE
; DAEMON Tools Toolbar
exec C:\Program Files\DAEMON Tools Toolbar\uninst.exe
deltmp
delnfr
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

svchost грузит процессор на 100%, svchost грузит процессор на 100%

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 09.07.2013 00:14:24

Ничего подозрительного нету в логе.

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.80.12 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 deltmp delnfr delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU delref HTTP://WWW.MAIL.RU/CNT/7821 restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Также сделайте лог AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

Правильно заданный вопрос - это уже половина ответа

Перейти

обнаружена уязвимость скрытого канала в icmp-пакете, .

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 08.07.2013 22:50:44

Удаляйте GeForce Experience или добавляйте IP адреса в список исключенных

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память = winlogon.exe(828) - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 08.07.2013 16:24:40

выполняем скрипт:

Код
;uVS v3.80.12 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 bl 5D7460DD619A47ED791AF7C93F6EA415 2295328 addsgn 1A18D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C2B9100CD6993D8517C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 GuardMail zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\CQHYHA.EXE bl A20C05C72A75AB52B59A27A0D1FB2E29 205312 addsgn A7659219B9628B762FD6AEB1643707A9B4CAFC1E2104E087154E719A50D6714C769CCE8BAF159DC0CEDD7B7ECB626FFA2854E5B6C49AB0A5C82A5BCE5796B2E3 16 DorkBot zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\SCREENSAVERPRO.SCR bl A4E806CFC72C4388C0A9D109546FF7C8 149637 addsgn 9252621A156AC1CCE05B514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 virblockada_vir bl 9FA189A660525223275162445A9C4CD9 600608 addsgn 1A52F49A5583C58CF42B254E3143FE8E6082CF3FB2FED2D8FD8BC5C84397F2B50E6532DA76B81EB03AF78AF54B4E1439F6DB25D62D92B071EE72E0D038F9487D 8 MailSputnik adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT chklst delvir ; Java(TM) SE Development Kit 6 Update 37 exec MsiExec.exe /I{32A3A4F4-B792-11D6-A78A-00B0D0160370} /quiet ; Java DB 10.6.2.1 exec MsiExec.exe /X{73EC658D-A1C6-40CA-8E86-E05821BAACE7} /quiet deltmp delnfr delref HTTP://WWW.CHIPXP.RU/ delref HTTP://WWW.MAIL.RU/CNT/9516 setdns Подключение по локальной сети 2\4\{FFA5405A-3AA5-4776-A955-8D77EA7BC22F}\ czoo restart

Код

;uVS v3.80.12 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl 5D7460DD619A47ED791AF7C93F6EA415 2295328
addsgn 1A18D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C2B9100CD6993D8517C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 GuardMail
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\CQHYHA.EXE
bl A20C05C72A75AB52B59A27A0D1FB2E29 205312
addsgn A7659219B9628B762FD6AEB1643707A9B4CAFC1E2104E087154E719A50D6714C769CCE8BAF159DC0CEDD7B7ECB626FFA2854E5B6C49AB0A5C82A5BCE5796B2E3 16 DorkBot
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\SCREENSAVERPRO.SCR
bl A4E806CFC72C4388C0A9D109546FF7C8 149637
addsgn 9252621A156AC1CCE05B514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 virblockada_vir
bl 9FA189A660525223275162445A9C4CD9 600608
addsgn 1A52F49A5583C58CF42B254E3143FE8E6082CF3FB2FED2D8FD8BC5C84397F2B50E6532DA76B81EB03AF78AF54B4E1439F6DB25D62D92B071EE72E0D038F9487D 8 MailSputnik
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT
chklst
delvir
; Java(TM) SE Development Kit 6 Update 37
exec MsiExec.exe /I{32A3A4F4-B792-11D6-A78A-00B0D0160370} /quiet
; Java DB 10.6.2.1
exec MsiExec.exe /X{73EC658D-A1C6-40CA-8E86-E05821BAACE7} /quiet
deltmp
delnfr
delref HTTP://WWW.CHIPXP.RU/
delref HTTP://WWW.MAIL.RU/CNT/9516
setdns Подключение по локальной сети 2\4\{FFA5405A-3AA5-4776-A955-8D77EA7BC22F}\
czoo
restart

Изменено: Арвид - 08.07.2013 16:26:02

Правильно заданный вопрос - это уже половина ответа

Перейти

Баннеры в браузерах. помогите, пожалуйста, убрать., Помогите пожалуйста удалить баннер. Выходит на всех браузерах, на всех сайтах

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 08.07.2013 12:50:35

Проверку в Мбам выполнили? Где лог?

Правильно заданный вопрос - это уже половина ответа

Перейти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 08.07.2013 11:52:12

Код
;;uVS v3.80.12 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 setdns Встроенный wi-fi\4\{B623C909-73C9-4131-8360-4253227F188B}\ setdns Подключение по локальной сети\4\{5561FAAA-53B6-4562-A4D8-B6E1492DD467}\ setdns Сетевое подключение Bluetooth\4\{D48D66F5-E038-4D25-A339-DB0A84CE8F74}\ delref HTTP://GOMAILRU3.RU delref HTTP://WWW.MAIL.RU/CNT/7829 deltmp delnfr dnsreset ; Java(TM) 6 Update 29 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216029FF} /quiet restart

Код

;;uVS v3.80.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

setdns Встроенный wi-fi\4\{B623C909-73C9-4131-8360-4253227F188B}\
setdns Подключение по локальной сети\4\{5561FAAA-53B6-4562-A4D8-B6E1492DD467}\
setdns Сетевое подключение Bluetooth\4\{D48D66F5-E038-4D25-A339-DB0A84CE8F74}\
delref HTTP://GOMAILRU3.RU
delref HTTP://WWW.MAIL.RU/CNT/7829
deltmp
delnfr
dnsreset
; Java(TM) 6 Update 29
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216029FF} /quiet
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

модифицированный троня win32/kryptik.BDWB

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 08.07.2013 11:36:04

Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти