-
Junior Member
- Вес репутации
- 40
Помогите избавиться от Worm:Win32/Dorkbot.as [Trojan.Win32.Genome.albtv, Trojan-Downloader.Win32.MultiDL.c
]
Не заходит в соц сети и периодически выскакивает форма оцените соединение интернета "типа введите номер и отправьте смс". Пробовал антивирусом искать, находит Worm:Win32/Dorkbot.as, удаляет. После перезагрузки повторяется тоже самое. Что только не пробовал((( Уповаю только на Вас! Заранее спасибо!virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.log
Система: Windows 7 64
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) GaNniBaJi, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте !!!
Пофиксите в HijackThis:
Код:
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O3 - Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - (no file)
O4 - HKCU\..\Run: [~backup~] C:\Users\Stanislav\Documents\Application Data\explorer.exe
Выполните скрипт в AVZ:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\users\stanislav\documents\application data\explorer.exe');
QuarantineFile('C:\Windows\syswow64\flashplayerupdateservice.exe','');
QuarantineFile('C:\Windows\system32\flashplayerupdateservice.exe','');
QuarantineFile('c:\users\stanislav\documents\application data\explorer.exe','');
DeleteFile('C:\Users\Stanislav\Documents\Application Data\explorer.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','~backup~');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
end.
После перезагрузки выполните скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
-
-
Junior Member
- Вес репутации
- 40
virusinfo_syscheck.zipvirusinfo_syscure.ziphijackthis.log
Добрый день! Спасибо за отклик. Проделал вышеописанные процедуры. Вот результат:
-
Выполните скрипт в AVZ:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\syswow64\flashplayerupdateservice.exe','');
QuarantineFile('C:\Windows\system32\flashplayerupdateservice.exe','');
QuarantineFile('c:\progra~3\browse~1\261339~1.144\{16cdf~1\browse~1.dll','');
DeleteFile('C:\Windows\system32\flashplayerupdateservice.exe','32');
DeleteFile('C:\Windows\syswow64\flashplayerupdateservice.exe','32');
DelBHO('{D0F4A166-B8D4-48b8-9D63-80849FE137CB}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
end.
После перезагрузки выполните скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
-
-
Junior Member
- Вес репутации
- 40
-
Выполните скрипт в AVZ:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\progra~3\browse~1\261339~1.144\{16cdf~1\browse~1.dll','');
QuarantineFile('C:\Windows\system32\flashplayerupdateservice.exe','');
QuarantineFile('C:\Windows\syswow64\flashplayerupdateservice.exe','');
DeleteFile('C:\Windows\syswow64\flashplayerupdateservice.exe','32');
DeleteFile('C:\Windows\system32\flashplayerupdateservice.exe','32');
DeleteFile('c:\progra~3\browse~1\261339~1.144\{16cdf~1\browse~1.dll','32');
DelBHO('{D0F4A166-B8D4-48b8-9D63-80849FE137CB}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделайте лог быстрого сканирования MBAM
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
-
-
Junior Member
- Вес репутации
- 40
-
Удалите в MBAM, только указанные строки:
Код:
Обнаруженные ключи в реестре: 1
HKCU\Software\Microsoft\Windows\CurrentVersion\MSrtn (Trojan.Agent) -> Действие не было предпринято.
Обнаруженные файлы: 6
C:\Users\Stanislav\Documents\Application Data\explorer.dat (Trojan.Explorer) -> Действие не было предпринято.
Выполните скрипт в AVZ:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\syswow64\flashplayerupdateservice.exe','');
QuarantineFile('C:\Windows\system32\flashplayerupdateservice.exe','');
QuarantineFile('c:\progra~3\browse~1\261339~1.144\{16cdf~1\browse~1.dll','');
DeleteFile('c:\progra~3\browse~1\261339~1.144\{16cdf~1\browse~1.dll','32');
DeleteFile('C:\Windows\system32\flashplayerupdateservice.exe','32');
DeleteFile('C:\Windows\syswow64\flashplayerupdateservice.exe','32');
DelBHO('{98889811-442D-49dd-99D7-DC866BE87DBC}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log ) + Повторный лог быстрого сканирования MBAM.
-
-
Junior Member
- Вес репутации
- 40
-
-
-
Junior Member
- Вес репутации
- 40
-
Выполните скрипт в uVS Как выполнить скрипт в uVS
Код:
;uVS v3.80.1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
zoo %SystemRoot%\SYSWOW64\FLASHPLAYERUPDATESERVICE.EXE
delall %SystemRoot%\SYSWOW64\FLASHPLAYERUPDATESERVICE.EXE
zoo %SystemRoot%\SYSWOW64\MACROMED\FLASH\FLASHPLAYERUPDATESERVICE.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\PAMELA\PAMELA.EXE
deltmp
restart
Не забудьте выполнить 6-ой пункт:
6. Зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2012-08-21_20-05-27.7z) если архив отсутствует, то заархивруйте папку ZOO в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы. (в некоторых случаях карантина может не быть - папка ZOO_ не появилась или там только текстовые файлы)
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\\progra~3\\browse~1\\261339~1.144\\{16cdf~1\\br owse~1.dll - not-a-virus:AdWare.Win32.Bromngr.i ( BitDefender: Adware.BHO.BProtector.A )
- c:\\users\\stanislav\\documents\\application data\\explorer.exe - Trojan.Win32.Jorik.Cidox.aeb ( BitDefender: Trojan.GenericKDV.1148572, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\flashplayerupdateservice.ex e - Trojan-Downloader.Win32.MultiDL.c ( DrWEB: Trojan.DownLoad3.26006, BitDefender: Trojan.Downloader.JQAC )
- c:\\windows\\syswow64\\flashplayerupdateservice.ex e - Trojan-Downloader.Win32.MultiDL.c ( DrWEB: Trojan.DownLoad3.26006, BitDefender: Trojan.Downloader.JQAC )
- \\zoo\\flashplayerupdateservice.exe._942860bedf408 cc4c6a1831ef3744a3f9e68b375 - Trojan-Downloader.Win32.MultiDL.c ( DrWEB: Trojan.DownLoad3.26006, BitDefender: Trojan.Downloader.JQAC )
- \\zoo\\pamela.exe._1dbe00c8cb4f76dc210db0b4c1d07d1 1f714f3f3 - Trojan.Win32.Genome.albtv ( BitDefender: Gen:Trojan.Heur.GM.1000810130 )
-