Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Модифицированный Win32/Dorkbot.B червь (http://forum.oszone.net/showthread.php?t=247013)

Rarog14 15-11-2012 14:53 2026084
Модифицированный Win32/Dorkbot.B червь
 
Вложений: 2
Оперативная память = svchost.exe(1644) модифицированный Win32/Dorkbot.B червь очистка невозможна
Так же писал, что и = explorer.exe заражён, но в логах не нашёл...

CureIt в бесопасном режиме сразу не захотел - выдал ошибку с вариантами (ОК)"закрыть" и (CANCEL)"отладить".
В обычном режиме - почти полностью проверил - и та же ошибка.
AVZ и RSIT - сработали.

HijackThis по вашей ссылке не скачивается.

Нужное прикрепил.

Win XP sp3
Nod32 ss5

Доп. вопросы:
Если переносные носители были поражены - что делать, чтобы содержимое снова можно было видеть.
Вставление флешки в "вылеченный" комп - повлечёт заражение (оперативки) по-новой?

thyrex 15-11-2012 16:41 2026177
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\Андрей\Application Data\Mrjkjw.exe','');
 DeleteFile('C:\Documents and Settings\Андрей\Application Data\Mrjkjw.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Mrjkjw');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте на newvirus@tut.by с указанной ссылкой на тему

Сделайте новые логи

Rarog14 16-11-2012 06:40 2026619
Вложений: 2
Выполнено.

После выполнения первого скрипта компьютер завис на прощальном экране (нажал reset) - надеюсь не критично.
Карантин на почту выслал, логи тут.


Так что там с дополнительными вопросами?

thyrex 16-11-2012 16:11 2026854
Что с проблемой?

Rarog14 19-11-2012 09:24 2028074
На компе больше ничего не находит. Спасибо.

Но на вопрос про внешние носители я бы всё-ещё хотел получить ответ.

thyrex 19-11-2012 22:55 2028594
В Total Commander с включенной в его настройках опцией показа скрытых и системных файлов и папок исчезнувшая информация отображается?

Rarog14 22-11-2012 15:20 2030376
Да. Увидел.

Извиняюсь, если это уже оффтоп, но что теперь делать? Он и новые скрывает!
Скопировать всё что есть и форматнуть - поможет?

alex_sev 22-11-2012 15:24 2030377
Цитата:
Цитата Rarog14
Он и новые скрывает! »
Значит зловред активен. Сделайте новые логи по правилам с подключенной флешкой

thyrex 22-11-2012 16:34 2030449
+ Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt


Время: 19:38.

Время: 19:38.
© OSzone.net 2001-