Показано с 1 по 15 из 15.

Помогите удалить Win32 DorkBot.B [Backdoor.Win32.Azbreg.usf, not-a-virus:PSWTool.Win32.NetPass.arh ] (заявка № 140692)

  1. #1
    Junior Member Репутация
    Регистрация
    05.07.2008
    Сообщений
    8
    Вес репутации
    58

    Помогите удалить Win32 DorkBot.B [Backdoor.Win32.Azbreg.usf, not-a-virus:PSWTool.Win32.NetPass.arh ]

    Здравствуйте. Сидит в ОП. NOD32 не берет, CureIt в безопасном не видит. Вирус поражает только съемные. Посмотрите, пожалуйста. Спасибо
    Вложения Вложения
    Последний раз редактировалось LadyM; 19.06.2013 в 15:30.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) LadyM, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Здравствуйте !!!

    Пофиксите в HijackThis:
    Код:
    O4 - HKCU\..\Run: [Screen Saver Pro 3.1] D:\Documents and Settings\User\Application Data\ScreenSaverPro.scr
    O4 - HKCU\..\Run: [Zlvovn] D:\Documents and Settings\User\Application Data\Microsoft\Zlvovn.exe
    O4 - HKCU\..\Run: [Blvovp] D:\Documents and Settings\User\Application Data\Microsoft\Blvovp.exe
    O4 - HKCU\..\Run: [Ulvovi] D:\Documents and Settings\User\Application Data\Microsoft\Ulvovi.exe
    O4 - HKCU\..\Run: [Rkvovf] D:\Documents and Settings\User\Application Data\Microsoft\Rkvovf.exe
    O4 - HKCU\..\Run: [ca40229dd] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe
    O4 - HKCU\..\Run: [t4q] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe
    O4 - HKCU\..\Policies\Explorer\Run: [Windows Update] "D:\Documents and Settings\User\Application Data\Microsoft\wkegf\wkegf.exe" -shell
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\Documents and Settings\User\Application Data\B.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe','');
      QuarantineFile('D:\WINDOWS\Temp\wipmania.com','');
      QuarantineFile('d:\documents and settings\user\application data\9.exe','');
      QuarantineFile('D:\DOCUME~1\User\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE','');
      QuarantineFile('D:\Documents and Settings\User\Application Data\ScreenSaverPro.scr','');
      QuarantineFile('D:\Documents and Settings\User\Application Data\Microsoft\wkegf\wkegf.exe','');
      QuarantineFile('D:\Documents and Settings\User\Application Data\Microsoft\Zlvovn.exe','');
      QuarantineFile('D:\Documents and Settings\User\Application Data\Microsoft\Ulvovi.exe','');
      QuarantineFile('D:\Documents and Settings\User\Application Data\Microsoft\Rkvovf.exe','');
      QuarantineFile('D:\Documents and Settings\User\Application Data\Microsoft\Blvovp.exe','');
      QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe','');
      QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe');
      DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe');
      DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe');
      DeleteFile('D:\Documents and Settings\User\Application Data\Microsoft\Blvovp.exe');
      DeleteFile('D:\Documents and Settings\User\Application Data\Microsoft\Rkvovf.exe');
      DeleteFile('D:\Documents and Settings\User\Application Data\Microsoft\Ulvovi.exe');
      DeleteFile('D:\Documents and Settings\User\Application Data\Microsoft\Zlvovn.exe');
      DeleteFile('D:\Documents and Settings\User\Application Data\Microsoft\wkegf\wkegf.exe');
      DeleteFile('D:\Documents and Settings\User\Application Data\ScreenSaverPro.scr');
      DeleteFile('D:\WINDOWS\Tasks\At1.job');
      DeleteFile('d:\documents and settings\user\application data\9.exe');
      RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ca40229dd');
      RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','t4q');
      RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Blvovp');
      RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Rkvovf');
      RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ulvovi');
      RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zlvovn');
      RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Update');
      RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(16);
    RebootWindows(true);
    end.
    После перезагрузки выполните скрипт:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

  5. #4
    Junior Member Репутация
    Регистрация
    05.07.2008
    Сообщений
    8
    Вес репутации
    58

    Повторно

    Повторный скан
    Вложения Вложения

  6. #5

  7. #6
    Junior Member Репутация
    Регистрация
    05.07.2008
    Сообщений
    8
    Вес репутации
    58
    Извините за задержку, прога подвисает, сканирую

    - - - Добавлено - - -

    Лог
    Вложения Вложения

  8. #7
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\Documents and Settings\User\Application Data\B.exe','');
     QuarantineFile('D:\Documents and Settings\User\Application Data\1D0.exe.gonewiththewings','');
     QuarantineFile('D:\WINDOWS\system32\GreenFields.scr','');
     QuarantineFile('D:\System Volume Information\_restore{CA036B37-D9B1-46B6-86FD-B67920E0A745}\RP164\A0089143.exe','');
     QuarantineFile('D:\System Volume Information\_restore{CA036B37-D9B1-46B6-86FD-B67920E0A745}\RP164\A0089142.exe','');
     QuarantineFile('D:\Documents and Settings\User\Application Data\1CE.exe.gonewiththewings','');
     QuarantineFile('C:\System Volume Information\_restore{CA036B37-D9B1-46B6-86FD-B67920E0A745}\RP165\A0092584.exe','');
     DeleteFile('D:\Documents and Settings\User\Application Data\B.exe');
     DeleteFile('D:\Documents and Settings\User\Application Data\1D0.exe.gonewiththewings');
     DeleteFile('D:\WINDOWS\system32\GreenFields.scr');
     DeleteFile('D:\System Volume Information\_restore{CA036B37-D9B1-46B6-86FD-B67920E0A745}\RP164\A0089143.exe');
     DeleteFile('D:\System Volume Information\_restore{CA036B37-D9B1-46B6-86FD-B67920E0A745}\RP164\A0089142.exe');
     DeleteFile('D:\Documents and Settings\User\Application Data\1CE.exe.gonewiththewings');
     DeleteFile('C:\System Volume Information\_restore{CA036B37-D9B1-46B6-86FD-B67920E0A745}\RP165\A0092584.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки выполните скрипт:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log ) + Сделайте полный образ автозапуска uVS

  9. #8
    Junior Member Репутация
    Регистрация
    05.07.2008
    Сообщений
    8
    Вес репутации
    58

    Логи

    Прикрепила
    Вложения Вложения

  10. #9
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Восстановите файл HOSTS как описано в статье http://support.microsoft.com/kb/972034/ru

    Выполните скрипт в AVZ:
    Код:
    begin
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    RebootWindows(true);
    end.
    Отключает автозапуск со съемных носителей, уменьшая риск заражения с них.

    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

    В логах ничего вредоносного не обнаружил.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Выполните скрипт в uVS

    Код:
    ;uVS v3.80.3 script [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    OFFSGNSAVE
    ; D:\WINDOWS\TEMP\WIPMANIA.COM
    addsgn A7679B1991D66747037CEFB145FD7EBC648A75A361D9124CBC81C5BD5D6ECF0D233CCE5F96149D6826803ADE46357C32DE9EE8536092876E2D5CA92B36472252 8 Backdoor.Win32.Androm.xcj [Kaspersky]
    
    zoo %SystemRoot%\TEMP\WIPMANIA.COM
    bl AC6A9A7B27E426DE1579921B47734A7F 137216
    ; zoo %SystemRoot%\TEMP\WIPMANIA.COM
    chklst
    delvir
    restart
    сделайте новый образ автозапуска.

  12. #11
    Junior Member Репутация
    Регистрация
    05.07.2008
    Сообщений
    8
    Вес репутации
    58
    Спасибо. Все получилось Флешка больше не заражается. Поставила лицензионный NOD32. Сейчас занимаюсь поддержкой проекта.

  13. #12

  14. #13
    Junior Member Репутация
    Регистрация
    05.07.2008
    Сообщений
    8
    Вес репутации
    58
    лог автозапуска
    у меня в uVZ троян Generic
    Вложения Вложения

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    1) - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

    2) Выполните скрипт в uVS

    Код:
    ;uVS v3.80.7 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    OFFSGNSAVE
    ; C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\CAFEF9.EXE
    zoo C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\CAFEF9.EXE
    ; zoo C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\CAFEF9.EXE
    bl 9F22D076C25F3C9FFD546131C49EC030 49152
    addsgn 9252772A156AC1CC0BB4514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 8 Backdoor.Win32.Azbreg.usf [Kaspersky]
    
    ; D:\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\SCREENSAVERPRO.SCR
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\SCREENSAVERPRO.SCR
    ; zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\SCREENSAVERPRO.SCR
    bl 66645C322F5DA08190C4ED0AC35270C1 166915
    addsgn A7659219B9628B762FD6AEB1643707F585CAFC1E2104E087154E719A50D6714C769CCE539F159DC0CEDD7B7ECB626FFA2854E58EF59AB0A5C82A5BCE5796B2E3 8 Backdoor.Win32.Androm.xew
    
    ; D:\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\BLVOVP.EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\BLVOVP.EXE
    ; zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\BLVOVP.EXE
    ; C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24NAQ.EXE
    zoo C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24NAQ.EXE
    ; zoo C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24NAQ.EXE
    bl 516BB6B2D03724F9C60E1CAC9CC174F1 73728
    addsgn 1A0A639A5583C58CF42B254E3143FE84C9A2FFF689592784C5C34CB1642A314CAA02F3AB7E551454077CC49FCF2361063DDF614F7126F02C4BFBB17F3B462215 23 Trojan-Ransom.Win32.Blocker.uxw
    
    chklst
    delvir
    
    restart
    3) - Сделайте лог полного сканирования МВАМ.

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 53
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-15555590\\cafef9.exe - Backdoor.Win32.Azbreg.usf ( BitDefender: Trojan.Generic.9157617, AVAST4: Win32:Malware-gen )
      2. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-46689\\24naq.exe - Trojan-Ransom.Win32.Blocker.uxw ( DrWEB: Trojan.PWS.Panda.2401, BitDefender: Trojan.Generic.KDZ.837, AVAST4: Win32:Downloader-RQT [Trj] )
      3. c:\\system volume information\\_restore{ca036b37-d9b1-46b6-86fd-b67920e0a745}\\rp165\\a0092584.exe - Trojan-Ransom.Win32.Blocker.uxw ( DrWEB: Trojan.PWS.Panda.2401, BitDefender: Trojan.Generic.KDZ.837, AVAST4: Win32:Downloader-RQT [Trj] )
      4. d:\\documents and settings\\user\\application data\\microsoft\\blvovp.exe - Backdoor.Win32.Androm.xew ( BitDefender: Gen:Heur.Zygug.5, AVAST4: Win32:Downloader-TPQ [Trj] )
      5. d:\\documents and settings\\user\\application data\\microsoft\\rkvovf.exe - Backdoor.Win32.Androm.xcj ( BitDefender: Trojan.GenericKDV.1048018, AVAST4: Win32:Downloader-TPH [Trj] )
      6. d:\\documents and settings\\user\\application data\\screensaverpro.scr - Backdoor.Win32.Androm.xvg ( BitDefender: Trojan.GenericKDZ.22004 )
      7. d:\\documents and settings\\user\\application data\\1ce.exe.gonewiththewings - Trojan-Ransom.Win32.Blocker.uxw ( DrWEB: Trojan.PWS.Panda.2401, BitDefender: Trojan.Generic.KDZ.837, AVAST4: Win32:Downloader-RQT [Trj] )
      8. d:\\documents and settings\\user\\application data\\1d0.exe.gonewiththewings - Backdoor.Win32.Azbreg.usf ( BitDefender: Trojan.Generic.9157617, AVAST4: Win32:Malware-gen )
      9. d:\\system volume information\\_restore{ca036b37-d9b1-46b6-86fd-b67920e0a745}\\rp164\\a0089142.exe - not-a-virus:PSWTool.Win32.ProductKey.bw ( DrWEB: Tool.PassSteel.591 )
      10. d:\\system volume information\\_restore{ca036b37-d9b1-46b6-86fd-b67920e0a745}\\rp164\\a0089143.exe - not-a-virus:PSWTool.Win32.NetPass.arh ( DrWEB: Tool.PassView.526 )
      11. d:\\windows\\temp\\wipmania.com - Backdoor.Win32.Androm.xcj ( BitDefender: Trojan.GenericKDV.1048018, AVAST4: Win32:Downloader-TPH [Trj] )


  • Уважаемый(ая) LadyM, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. worm:Win32/Dorkbot.AS. помогите удалить
      От Никита97 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 13.06.2013, 13:01
    2. worm:Win32/Dorkbot.AS. помогите удалить
      От Никита97 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 13.06.2013, 11:38
    3. Win32 Dorkbot.F червь. Помогите удалить
      От Altico в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 05.06.2013, 00:25
    4. помогите удалить вирус Win32 DorkBot.B
      От Holly Foxy в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 04.09.2012, 21:47
    5. Помогите удалить вирус Win32 DorkBot.B
      От GapienkoN в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 21.12.2011, 11:33

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01572 seconds with 20 queries