-
Junior Member
- Вес репутации
- 44
Вирус в оперативной памяти Win32/Dorkbot.B + и в16 разрядной подсистемы MS-Dos
Были проблемы вылезал синий экран переустановил Винду и ...началосьПри проверке Нод32 обнаружил такой вирус Оперативная память winlogon.exe(472) модифицированный Win32/Dorkbot.B червь с надписью "очистка невозможна". Но самое неприятное что при работе с инетом вылезает такая "табличка":
16-разрядная подсистема Мs-DOS
C:\DOCUME\9335\APPLIC\*.exe(где вместо звездочки постоянно какие-то цифры)
Процессор NTVDM обнаружил недопустимую инструкцию.
СS:0dd0 IP:fffe OP:ff ff 00 00 00 Для завершения работы приложения нажмите кнопку "Закрыть"
Нод32 при этом непрерывно обрывает какие-то соединения с инетом(Журнал Нода в текстов файле прилагаю)
Интересно,что при отключение интернета может появится вместо этого сообщения похожее только приложение exploer.exe
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Жан Джин, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Ofymya.exe','');
TerminateProcessByName('c:\windows\wrdrive32.exe');
QuarantineFile('c:\windows\wrdrive32.exe','');
DeleteFile('c:\windows\wrdrive32.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Ofymya.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ofymya');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Установите все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Обновите базы AVZ
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 44
Все сделал так как написано,карантин сразу,логи сейчас.Изменения произошли такие: табличка исчезла ,вместо десятка соединений ,которые обрывает Нод ,только одно на один адрес,и...комп сильно тормозит периодически, это сообщение пришлось набирать очень долго.
-
Плохого в логах не увидел
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 44
Тормоза ушли.Сегодня вроде все нормуль.Спасибо за помощь!Единственное что хотелось спросить (простите профана)каким образом эти вирусы вылезли на второй день после переустановки Виды?Пересидели в оперативной? или подхватил за день работы? заранее спасибо.
-
Сообщение от
Жан Джин
или подхватил за день работы?
Более правдоподобно для необновленной системы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\администратор\\application data\\ofymya.exe - Trojan.Win32.Bublik.nx ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.KDV.618163, NOD32: Win32/Dorkbot.B worm, AVAST4: Win32:Kryptik-IQY [Trj] )
- c:\\windows\\wrdrive32.exe - Net-Worm.Win32.Kolab.bhcr ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Gen:Variant.Barys.2588, NOD32: IRC/SdBot trojan, AVAST4: Win32:IRCBot-EQT [Trj] )
-