Win32\Dorkbot не открывает содержимое флешек и внешнего жесткого диска

[Andronnij]

Здравствуйте и с праздниками вас, уважаемые модераторы сегго форума!
В очередной раз обращаюсь к вам за помощью. Мой компьютер заражен червем Win32\Dorkbot.B - так опредеил его NOD32, однако лечить его он отказывается и говорит, что червь расположен в оперативной памяти. Червь проявляет себя следующим образом: все папки на внешнем жестком диске показываются как ярлыки (все ярлыки ведут почему-то в папку на диске С windows\system32, в которой понятное дело этих папок нет и быть не может). Попытка открыть эти ярлыки ни к чему не приводит, так как комп сразу выдает ошибку. В скрытых папках нашел папку RECYCLED со странным .ехе файлом, на иконке которого была изображена порнографическая картинка. Удаление этой папки ни к чему не привело. Есть и еще одна проблема, и я подозреваю, что это уже другой вирус. Дело в том, что при подключении этого самого внешнего жесткого диска комп виснет, а ЖД не отображается в проводнике. НО если же подключить ЖД перед включением компа или хотя бы до загрузки Windows, то все ок, правда, как я уже писал на ЖД только ярлыки, которые невозможно открыть. Вирус перебрался с внешнего ЖД на комп. Логи я вам не стал высылать, потому что не знаю, делать ли их с подключением внешнего диска или по-обычному, как у вас описано в правилах. На диске очень важные данные для меня, поэтому я был очень рад, если бы вы мне помогли.

[Info_bot]

Уважаемый(ая) Andronnij, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

http://virusinfo.info/pravila.html

[Andronnij]

Добрый вечер!
Сделал все в соответствии с правилами. Перед тем, как сделал логи проверил все диски в т.ч. и внешний переносной диск программой CureIt. Она обнаружила несколько разных червей и на внутреннем и на внешнем дисках. Какие-то вылечила, какие-то зараженные удалила, а с какими-то ничего не сделала. После этого открыл внешний ЖД, часть папок на нем теперь отображаются нормально, другая часть - по-прежнему ярлыками. Если будет необходимо, могу выслать отчет CureIt, я его на всякий случай сохранил.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\user\Application Data\Bhyyyz.exe','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\3.exe','');
 DeleteFile('C:\Documents and Settings\user\Application Data\3.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','Windows Task Services');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','Windows Task Services');
 DeleteFile('C:\Documents and Settings\user\Application Data\Bhyyyz.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Bhyyyz');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Andronnij]

Выполнил скрипт, сделал логи, прислал карантин. Ситуация с внешним ЖД пока не изменилась. По-прежнему ярлыки. Жду дальнейших указаний.

[thyrex]

Сделайте лог полного сканирования МВАМ

[Andronnij]

Malwarebytes что-то обнаружил, причем именно на внешнем диске

[thyrex]

Удалите в МВАМ только указанные строки

Код:

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://www.smaxi.net) Хорошо: (http://www.google.com) -> Действие не было предпринято.

Обнаруженные файлы:  3
F:\System Volume Information\_restore{99752B18-BF79-4E3E-A0EF-2190FE909583}\RP23\A0007333.exe (Adware.Onlinegames) -> Действие не было предпринято.
F:\System Volume Information\_restore{FCAFC39C-532F-4BBA-BAAD-4FCB92521852}\RP84\A0008748.exe (Malware.NSPack) -> Действие не было предпринято.

Добавлено через 1 минуту

1. С помощью Total Commander с включенной в его настройках опцией показа скрытых и системных файлов (Файлы - Изменить атрибуты) убрать атрибут "скрытый" у настоящих папок
2. Удалить все ярлыки, которые появились вместо настоящих папок

Что с проблемой?

[Andronnij]

Мне нужно скачать и установить программу Total Commander? Или же достаточно в Свойствах папки поставить галочку "Отображать скрытые файлы и папки?"

И еще не очень понял, что удалять. 3 пункта или 2 вот эти:
F:\System Volume Information\_restore{99752B18-BF79-4E3E-A0EF-2190FE909583}\RP23\A0007333.exe (Adware.Onlinegames) -> Действие не было предпринято.
F:\System Volume Information\_restore{FCAFC39C-532F-4BBA-BAAD-4FCB92521852}\RP84\A0008748.exe (Malware.NSPack) -> Действие не было предпринято.

?

Добавлено через 8 минут

и что делать с этим:

Код:

F:\Программы\Photoshop\keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.

Мне этот файл по сути не нужен. Может удалить, если он заражен?

Добавлено через 21 секунду

[thyrex]

Мне нужно скачать и установить программу Total Commander?

Именно

И еще не очень понял, что удалять. 3 пункта или 2

Если кейген не нужен, можете удалить. Хотя он и без вируса )

[Andronnij]

Все сделал, все проблемы решены. Жесткий диск больше не виснет при подключении, а все папки отображаются нормально. Большое спасибо!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения вредоносные программы в карантинах не обнаружены