Показано с 1 по 14 из 14.

Оперативная память winlogon.exe Модифицированный Win32/Dorkbot.В червь. Очистка невозможна (заявка № 116164)

  1. #1
    Junior Member Репутация
    Регистрация
    06.02.2012
    Сообщений
    11
    Вес репутации
    45

    Оперативная память winlogon.exe Модифицированный Win32/Dorkbot.В червь. Очистка невозможна

    Добрый день! Если он добрый.
    В общем пошел в фотостудию отсканировать фотки на флешку. Когда пришел домой и всунул флешку началось что то не понятное. На флешке ярлыки вместо моих файлов. RECYCLER.InkRECYCLER.Ink также этот файл и f5399233.exe. Антивирус их удалял. Флешка новая. Я так понял испортили. Я отключил антивирус и закачал фотки на диск С. Потом началось. В верде текст может меняться на иероглифы внезапно. Порой замечаю интернет что то качает. Появляются какие то файлы которые грузят систему, я их отключаю в диспетчере задач. Это вот такие futorun.inf 32B.exes615.hotfile.comA8.exe. Это с флешки Флешка.lnk. А этот файл прописался в автозагрузке и не удаляется и не отсанавливается kkokou.exe. Этот вроде удалился Ikokos.exe . При запуске системы антивирус пишет угроза памяти очистка невозможна. и разные ошибки типа Оперативная память winlogon.exe (836, 756, 74. Модифицированный Win32/Dorkbot.В червь. Очистка невозможна. Помогите а?





    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) jonny_man, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. Это понравилось:


  5. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\docume~1\7b33~1\locals~1\temp\{f96aa247-ed0e-416a-84d0-30dd72177455}\mrs.exe');
     QuarantineFile('C:\Documents and Settings\САНЯ\Application Data\Kkokou.exe','');
     QuarantineFile('C:\Documents and Settings\САНЯ\Application Data\48.exe','');
     QuarantineFile('c:\windows\explorer.exe','');
     QuarantineFile('c:\docume~1\7b33~1\locals~1\temp\{f96aa247-ed0e-416a-84d0-30dd72177455}\mrs.exe','');
     DeleteFile('C:\Documents and Settings\САНЯ\Application Data\48.exe');
     DeleteFile('C:\Documents and Settings\САНЯ\Application Data\Kkokou.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','PService');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PService');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kkokou');
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    + Сделайте лог полного сканирования МВАМ.

  6. Это понравилось:


  7. #4
    Junior Member Репутация
    Регистрация
    06.02.2012
    Сообщений
    11
    Вес репутации
    45
    Как вы и написали загрузи quarantine.zip, а пароль есть ли там не знаю. Ну вижу, что после перезагрузки, после скрипта, антивирус не показал сообщение уже, что памяти угроза и очистка невозможна. Спокойно загрузилось вроде. А МВАМ платная да?
    Вложения Вложения

  8. #5
    Junior Member Репутация
    Регистрация
    06.02.2012
    Сообщений
    11
    Вес репутации
    45
    у меня вот что снова появилось в Application Data CBA.exe. все exe в этой папке появлялись зловредные на протяжении всего этого времени. что делать с этим файлом, снова унлокером удалить?

  9. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от jonny_man Посмотреть сообщение
    А МВАМ платная да?
    для такого одноразового сканирования бесплатна. Ждём лог

    Добавлено через 3 минуты

    + Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.

    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).

    Перезагрузите компьютер.

    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

    + Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.

  10. Это понравилось:


  11. #7
    Junior Member Репутация
    Регистрация
    06.02.2012
    Сообщений
    11
    Вес репутации
    45
    Результат загрузки
    Файл сохранён как 120207_130925_virusinfo_files_BEST-7C10D9B38C_4f3122850c13c.zip
    Размер файла 10577424
    MD5 dcaced25819668514dd1a16527156ca9
    Вроде всё сделал верно, там закачал, сюда вставил. Работает система тоже вроде нормально. Обновления тоже закачал. Браузер обязательно нужно обновлять, так неохота?
    Вложения Вложения

  12. #8

  13. #9
    Junior Member Репутация
    Регистрация
    06.02.2012
    Сообщений
    11
    Вес репутации
    45
    Сделал. Я почему то думал, что как в avz4 отчет автоматически сохранится. А там нужно нажать кнопочку сначала сохранить отчет и лишь потом Потом там сохраняется неопознанный файл, для открытия выбирать прогу блокнот, открыв еще сохранить как выбрать, чтобы в текстовом документе сохранить. А в свойствах формат не меняется, только пересохранять неопознанный файл. Ну это так, лирика Готово.
    Вложения Вложения

  14. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    - выполните такой скрипт

    Код:
    begin
    
     QuarantineFile('C:\WINDOWS\system32\txt2clip.exe','');
     QuarantineFile('C:\WINDOWS\system32\GreenFields.sc','');
     QuarantineFile('C:\WINDOWS\system32\MRS.exe','');
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

  15. #11
    Junior Member Репутация
    Регистрация
    06.02.2012
    Сообщений
    11
    Вес репутации
    45
    Результат загрузки
    Ошибка загрузки. Данный файл уже был загружен
    Я уже несколько раз выполнял скрипт, переименовывал zip, но все равно не закачивает на "Прислать запрошенный карантин"
    Может сюда во вложение сообщения?

  16. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от jonny_man Посмотреть сообщение
    Результат загрузки
    Ошибка загрузки. Данный файл уже был загружен
    размер архива какой? скорей всего карантин пустой.

    Проверьте существуют ли эти файлы на диске:
    C:\WINDOWS\system32\txt2clip.exe
    C:\WINDOWS\system32\GreenFields.scr
    C:\WINDOWS\system32\MRS.exe


    если да то проверьте их http://www.virustotal.com/ ссылку на результат проверки напишите здесь.

  17. #13
    Junior Member Репутация
    Регистрация
    06.02.2012
    Сообщений
    11
    Вес репутации
    45
    Последний раз редактировалось jonny_man; 09.02.2012 в 17:23. Причина: Недопонял

  18. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\саня\\application data\\kkokou.exe - Trojan.Win32.Buzus.ktoc ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.7368562, AVAST4: Win32:Crypto-AX [Trj] )


  • Уважаемый(ая) jonny_man, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 08.06.2012, 11:34
    2. Ответов: 9
      Последнее сообщение: 29.04.2012, 14:38
    3. Ответов: 2
      Последнее сообщение: 05.04.2012, 23:08
    4. Ответов: 10
      Последнее сообщение: 21.12.2011, 16:56

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00844 seconds with 18 queries