Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   модифицированный Win32/Dorkbot (http://forum.oszone.net/showthread.php?t=250806)

joey85 07-01-2013 10:44 2060849
модифицированный Win32/Dorkbot
 
Вложений: 2
В оперативной памяти - модифицированный Win32/Dorkbot.B червь очистка невозможна

логи прикрепил

Win XP sp2
Nod32 ss5

помогите его удалить

SolarSpark 07-01-2013 11:06 2060858
лог RSIT забыли

SolarSpark 07-01-2013 11:26 2060865
1.Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFileF('D:\Documents and Settings\Admin\Application Data\', '*.exe', false, '', 0, 0);
 QuarantineFile('D:\Documents and Settings\Admin\Application Data\Microsoft\Nlymyz.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-106669\w68v12.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\nepro0xz.exe','');
 QuarantineFile('D:\Documents and Settings\Admin\Application Data\12.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-106669\w68v12.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\nepro0xz.exe');
 DeleteFile('D:\Documents and Settings\Admin\Application Data\12.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\18.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\17.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\14.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\63.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\64.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\65.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\67.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\55.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\56.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\57.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\8E.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\8F.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\90.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\91.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\DF.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\E0.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\E1.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\E2.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\41D.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\41E.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\44C.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\41E.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\4CC.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\4CD.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\4CE.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\4CF.exe');
 DeleteFile('D:\Documents and Settings\Admin\Application Data\Microsoft\Nlymyz.exe');
DeleteFileMask('D:\Documents and Settings\Admin\Application Data\', '*.exe', false);
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wi68');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','t4q');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nepro0xz');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSSMARTMON1');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Nlymyz');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
 ExecuteRepair(8);
 ExecuteRepair(13);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

2.После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему


3.Сделайте повторные логи AVZ + RSIT + HijackThis

4.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.


5.Обновляем систему до SP3. Service Pack 3 (может потребоваться активация) + устанавливаем ВСЕ обновления

______________________________________

joey85 07-01-2013 12:34 2060912
Вложений: 3
отчёт готов

SolarSpark 07-01-2013 12:36 2060918
DDownTango6bToolbar сами установили себе?

логи АВЗ старые залили. Прикрепите свежие, пожалуйста

joey85 07-01-2013 12:45 2060932
В реестре нашёл только Down Tango и Down Tango Launcher 2.1

SolarSpark 07-01-2013 12:46 2060934
Цитата:
Цитата SolarSpark
логи АВЗ старые залили. Прикрепите свежие, пожалуйста »

joey85 07-01-2013 12:58 2060942
чёт я не совсем понимаю что за АВ3?

SolarSpark 07-01-2013 13:04 2060953
лог virusinfo_syscure.zip вы залили старый, вы же сделали после скрипта проверку? мне нужен новый лог после скрипта

joey85 07-01-2013 13:11 2060960
Новый оно почему-то не хочет выдавать. я даже старые удалил и заново всё сделал, а в папке пусто.

SolarSpark 07-01-2013 13:13 2060962
удалите старую папку с AVZ с рабочего стола. скачайте заново-обновите базы

Запустите AVZ, выберите в меню "Файл"=>"Стандартные скрипты" и поставьте галочку напротив скрипта №3. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.

joey85 07-01-2013 13:57 2060993
готово

SolarSpark 07-01-2013 14:09 2060998
Рекомендую удалить Спутник@Mail.Ru, Ask Toolbar, DDownTango6bToolbar, если не используете
Панель удаляется через Пуск-Панель управления-Удаление программ

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('D:\WINDOWS\system32\drivers\etc\hоsts','');
 DeleteFile('D:\WINDOWS\system32\drivers\etc\hоsts');
QuarantineFile('D:\Documents and Settings\Admin\ddn.exe','');
 DeleteFile('D:\Documents and Settings\Admin\ddn.exe');
if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

Пофиксить в HijackThis следующие строчки:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.certified-toolbar.com?si=41460&home=true&tid=3231
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.certified-toolbar.com?si=41460&home=true&tid=3231
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q=

проверяемся на уязвимости
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом руководстве.

joey85 07-01-2013 14:41 2061017
Вложений: 1
Пофиксить в HijackThis не получилось т.к. там нет таких пунктов.

SolarSpark 07-01-2013 14:46 2061022
Service Pack 2 Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Internet Explorer 6.0.2900.2180 Внимание! Скачать обновления
-------------Windows------------------------------

обновитесь, ибо опасно выходить в интернет с такой уязвимой системой!

Adobe Flash Player 10 ActiveX v.10.1.53.64 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.5.502.135
Adobe Shockwave Player 11.6 v.11.6.5.635 Внимание! Скачать обновления
-------------Browser------------------------------
Opera 11.50 v.11.50.1074 Внимание! Скачать обновления
Google Chrome v.16.0.912.21 Внимание! Скачать обновления
-------------RunningProcess-----------------------


что с проблемой, полегчало?

Пароли смените!

joey85 07-01-2013 16:03 2061083
спасибо огромное за помощь. комп стал работать быстрее. проверил док.вебом вирусов в оперативной памяти не обнаружил. сейчас всю сис-му проверю в безопасном режиме.

SolarSpark 07-01-2013 16:11 2061100
joey85, чУдно, только про обновы я не зря настаиваю-сетевой червяк это большая грусть
без обнов вернется ни сегодня-завтра

по логам у вас чисто..
Было Worm.Win32.Palevo, отправляет на адрес злоумышленника сохраненные пароли из браузеров Firefox, Internet Explorer, Opera-меняйте

Выполните рекомендации после лечения


Время: 05:21.

Время: 05:21.
© OSzone.net 2001-