Win32\Dorkbot.B и (если не ошибаюсь) Win32\Dorkbot.D

**KsenoBit** · 20.06.2013, 18:39

Жду ваших указаний. Выложить логи не получается - AVZ рушится при попытке их сделать... А файлозагрузчик бесится и не отправляет файлы (плохой интернет, что поделать...)
Win7 x64. Надеюсь на быструю и качественную помощь. :(

Скрытый текст

Logfile of Trend Micro HijackThis v2.0.5Scan saved at 22:27:57, on 20.06.2013
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16450)

Boot mode: Normal

Running processes:
C:\Users\Президент\AppData\Local\Yandex\Updater\praetorian.exe
C:\Program Files (x86)\Connectify\Connectify.exe
C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
C:\Program Files (x86)\BitTorrent\BitTorrent.exe
C:\Windows\SysWOW64\SupportAppXL\AutoDect.exe
C:\Users\Президент\Desktop\AVZ_4.35_Rus\AVZ 4.35 Rus\avz.exe
C:\Program Files (x86)\HUAWEI Modem Plus\HUAWEI Modem Plus.exe
C:\Users\Президент\AppData\Local\Bromium\Application\chrome.exe
C:\Users\Президент\AppData\Local\Bromium\Application\chrome.exe
C:\Users\Президент\AppData\Local\Bromium\Application\chrome.exe
C:\Users\Президент\AppData\Local\Bromium\Application\chrome.exe
C:\Users\Президент\AppData\Local\Bromium\Application\chrome.exe
C:\Users\Президент\AppData\Local\Bromium\Application\chrome.exe
C:\Users\Президент\AppData\Local\Bromium\Application\chrome.exe
C:\Users\Президент\AppData\Local\Bromium\Application\chrome.exe
C:\Users\Президент\AppData\Local\Bromium\Application\chrome.exe
C:\Users\Президент\AppData\Local\Bromium\Application\chrome.exe
C:\Users\Президент\AppData\Local\Bromium\Application\chrome.exe
C:\Users\Президент\AppData\Local\Bromium\Application\chrome.exe
C:\Users\Президент\AppData\Local\Bromium\Application\chrome.exe
C:\Users\Президент\Documents\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: BitComet Helper - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files (x86)\BitComet\tools\BitCometBHO_1.3.7.16.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~2\Download Master\dmiehlp.dll
O2 - BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\Microsoft Office\Office14\URLREDIR.DLL
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files (x86)\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [Praetorian] C:\Users\Президент\AppData\Local\Yandex\Updater\praetorian.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [Download Master] C:\Program Files (x86)\Download Master\dmaster.exe -autorun
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files (x86)\BitTorrent\BitTorrent.exe"
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_4_402_287_Plugin.exe -update plugin
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O8 - Extra context menu item: &Отправить в OneNote - res://C:\PROGRA~2\Microsoft Office\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~2\Microsoft Office\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: Загрузить &с помощью BitComet - res://C:\Program Files (x86)\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Загрузить всё с помощью BitComet - res://C:\Program Files (x86)\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Загрузить все видео файлы с помощью BitComet - res://C:\Program Files (x86)\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files (x86)\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files (x86)\Download Master\dmie.htm
O8 - Extra context menu item: Передать на удаленную закачку DM - C:\Program Files (x86)\Download Master\remdown.htm
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O17 - HKLM\System\CCS\Services\Tcpip\..\{47064FEE-1EB7-4D4E-911D-4EA28235DB80}: NameServer = 213.87.125.145 213.87.125.146
O17 - HKLM\System\CS1\Services\Tcpip\..\{47064FEE-1EB7-4D4E-911D-4EA28235DB80}: NameServer = 213.87.125.145 213.87.125.146
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_471277d5d45019ea\AESTSr64.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Connectify - Unknown owner - C:\Program Files (x86)\Connectify\ConnectifyService.exe
O23 - Service: Dicter Service (DicterUpdateService) - Zeyfman Genady - C:\Program Files (x86)\Dicter\DicterService.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: HP Service (hpsrv) - Unknown owner - C:\Windows\system32\Hpservice.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: KMService - Unknown owner - C:\Windows\system32\srvany.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @mqutil.dll,-6102 (MSMQ) - Unknown owner - C:\Windows\system32\mqsvc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_471277d5d45019ea\STacSV64.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 10343 bytes

Скрыть

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 20.06.2013, 18:40

Уважаемый(ая) KsenoBit, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**KsenoBit** · 20.06.2013, 19:15

Вроде бы что то получилось...
Отсылаю все... Разберитесь, прошу...
Система Win7 x64 SP1

**Nikkollo** · 20.06.2013, 19:41

Где вы такой старый AVZ то умудрились откопать?

Скачайте в отдельную папку полиморфный AVZ (базы обновлять не надо):
http://z-oleg.com/avz.exe
Сделайте им лог virusinfo_syscheck.zip. Делать как обычным AVZ:
(пункт 2 раздела "Диагностика" правил) и приложите в теме.

**KsenoBit** · 20.06.2013, 20:42

Попробую, но у меня интернет 2,37 - 4,50 kb/ps...
Попробуйте что либо на тех логах сделать, а я пока скачаю...

- - - Добавлено - - -

Вот так вот)

**Nikkollo** · 20.06.2013, 22:29

Выполните скрипт в полиморфном AVZ (выполнять как в обычном AVZ) (как выполнить):

Код:

begin
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,2,true);
end.

Выполните скрипт в AVZ отсюда, скопировав там весь текст (как выполнить):
http://dataforce.ru/~kad/ScanVuln.txt
Если будут найдены уязвимости, в папке AVZ\LOG появится файл avz_log.txt. Приложите его в теме.
Затем откройте его в блокноте, пройдите по всем ссылкам и установите указанные там обновления.
Перезагрузите компьютер, выполните еще раз этот скрипт и убедитесь, что обновления установились.

Ничего интересного не обнаружил.

О скорости интернета у провайдера не спрашивали?
Симптомы какие-нибудь сейчас есть?

**KsenoBit** · 21.06.2013, 08:16

Я с Норильска.) У нас это максимум

Симптомы... При подключении флешки NOD32 выводит меседж о том что "Обнаружена угроза в памяти Win32/Dorkbot.B = svchost.exe .Очистка не возможна" И на флешку кидается вирус, превращая все файлы в ярлыки.

- - - Добавлено - - -

И я похоже благодаря вашему сайту выгрузил его и вырубил сам...

Все же есть кой-какие познания в компьютерах, правда с этим зверем сталкиваюсь не в первый раз... Но раньше замечал его только на WinXP, а сейчас вот на win7 увидал, а она, к тому же, еще и х64 и скрипт, которым я ее вычищал с ХР не хотел работать.) Чуть подшаманил и убил

- - - Добавлено - - -

Уязвимости устраню.
Их всего две

Свежие обновления видимо, а у нас их скачать довольно проблематично. Как появятся в местной сети - сразу же и установлю.
Спасибо вам и вашему сайту за помощь!

**Nikkollo** · 21.06.2013, 21:05

Насчет скорости сочувствую.
Так и не понял, что сейчас с симптомами...

**KsenoBit** · 23.06.2013, 14:47

Сейчас все уже нормально)

**regist** · 23.06.2013, 16:32

Советы и рекомендации после лечения компьютера

Win32\Dorkbot.B и (если не ошибаюсь) Win32\Dorkbot.D (заявка № 140776)

Опции темы

Win32\Dorkbot.B и (если не ошибаюсь) Win32\Dorkbot.D

Скрытый текст

Это понравилось:

Это понравилось:

Похожие темы

Помогите удалить Win32 DorkBot.B [Backdoor.Win32.Azbreg.usf, not-a-virus:PSWTool.Win32.NetPass.arh ]

Worm:Win32/Dorkbot.AS Прошу помощи. [Trojan.Win32.Cidox.aggg ]

Windows Defender нашел Win32/Dorkbot.AS [Trojan.Win32.Cidox.affn, ]

win32 dorkbot b червь. Помогите удалить [Worm.Win32.AutoRun.eyhy ]

Оперативная память = winlogon.exe(764) - модифицированный Win32/Dorkbot.B червь - очистка невозможна [Trojan.Win32.Inject.fhth, Backdoor.Win32.Ruskill.rpc ]

Метки для этой темы

Ваши права в разделе