-
Junior Member
- Вес репутации
- 53
Win32\Dorkbot не открывает содержимое флешек и внешнего жесткого диска
Здравствуйте и с праздниками вас, уважаемые модераторы сегго форума!
В очередной раз обращаюсь к вам за помощью. Мой компьютер заражен червем Win32\Dorkbot.B - так опредеил его NOD32, однако лечить его он отказывается и говорит, что червь расположен в оперативной памяти. Червь проявляет себя следующим образом: все папки на внешнем жестком диске показываются как ярлыки (все ярлыки ведут почему-то в папку на диске С windows\system32, в которой понятное дело этих папок нет и быть не может). Попытка открыть эти ярлыки ни к чему не приводит, так как комп сразу выдает ошибку. В скрытых папках нашел папку RECYCLED со странным .ехе файлом, на иконке которого была изображена порнографическая картинка. Удаление этой папки ни к чему не привело. Есть и еще одна проблема, и я подозреваю, что это уже другой вирус. Дело в том, что при подключении этого самого внешнего жесткого диска комп виснет, а ЖД не отображается в проводнике. НО если же подключить ЖД перед включением компа или хотя бы до загрузки Windows, то все ок, правда, как я уже писал на ЖД только ярлыки, которые невозможно открыть. Вирус перебрался с внешнего ЖД на комп. Логи я вам не стал высылать, потому что не знаю, делать ли их с подключением внешнего диска или по-обычному, как у вас описано в правилах. На диске очень важные данные для меня, поэтому я был очень рад, если бы вы мне помогли.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Andronnij, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Добрый вечер!
Сделал все в соответствии с правилами. Перед тем, как сделал логи проверил все диски в т.ч. и внешний переносной диск программой CureIt. Она обнаружила несколько разных червей и на внутреннем и на внешнем дисках. Какие-то вылечила, какие-то зараженные удалила, а с какими-то ничего не сделала. После этого открыл внешний ЖД, часть папок на нем теперь отображаются нормально, другая часть - по-прежнему ярлыками. Если будет необходимо, могу выслать отчет CureIt, я его на всякий случай сохранил.
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\user\Application Data\Bhyyyz.exe','');
QuarantineFile('C:\Documents and Settings\user\Application Data\3.exe','');
DeleteFile('C:\Documents and Settings\user\Application Data\3.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','Windows Task Services');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','Windows Task Services');
DeleteFile('C:\Documents and Settings\user\Application Data\Bhyyyz.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Bhyyyz');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Выполнил скрипт, сделал логи, прислал карантин. Ситуация с внешним ЖД пока не изменилась. По-прежнему ярлыки. Жду дальнейших указаний.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Malwarebytes что-то обнаружил, причем именно на внешнем диске
-
Удалите в МВАМ только указанные строки
Код:
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://www.smaxi.net) Хорошо: (http://www.google.com) -> Действие не было предпринято.
Обнаруженные файлы: 3
F:\System Volume Information\_restore{99752B18-BF79-4E3E-A0EF-2190FE909583}\RP23\A0007333.exe (Adware.Onlinegames) -> Действие не было предпринято.
F:\System Volume Information\_restore{FCAFC39C-532F-4BBA-BAAD-4FCB92521852}\RP84\A0008748.exe (Malware.NSPack) -> Действие не было предпринято.
Добавлено через 1 минуту
1. С помощью Total Commander с включенной в его настройках опцией показа скрытых и системных файлов (Файлы - Изменить атрибуты) убрать атрибут "скрытый" у настоящих папок
2. Удалить все ярлыки, которые появились вместо настоящих папок
Что с проблемой?
Последний раз редактировалось thyrex; 09.01.2012 в 19:14.
Причина: Добавлено
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Мне нужно скачать и установить программу Total Commander? Или же достаточно в Свойствах папки поставить галочку "Отображать скрытые файлы и папки?"
И еще не очень понял, что удалять. 3 пункта или 2 вот эти:
F:\System Volume Information\_restore{99752B18-BF79-4E3E-A0EF-2190FE909583}\RP23\A0007333.exe (Adware.Onlinegames) -> Действие не было предпринято.
F:\System Volume Information\_restore{FCAFC39C-532F-4BBA-BAAD-4FCB92521852}\RP84\A0008748.exe (Malware.NSPack) -> Действие не было предпринято.
?
Добавлено через 8 минут
и что делать с этим:
Код:
F:\Программы\Photoshop\keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
Мне этот файл по сути не нужен. Может удалить, если он заражен?
Добавлено через 21 секунду
Последний раз редактировалось Andronnij; 09.01.2012 в 21:01.
Причина: Добавлено
-
Сообщение от
Andronnij
Мне нужно скачать и установить программу Total Commander?
Именно
Сообщение от
Andronnij
И еще не очень понял, что удалять. 3 пункта или 2
Если кейген не нужен, можете удалить. Хотя он и без вируса )
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Все сделал, все проблемы решены. Жесткий диск больше не виснет при подключении, а все папки отображаются нормально. Большое спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-