Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Червь win32/dorkbot.as [HEUR:Trojan.Win32.Generic ] (заявка № 143224)

  1. #1
    Junior Member Репутация
    Регистрация
    31.07.2013
    Сообщений
    14
    Вес репутации
    13

    Червь win32/dorkbot.as [HEUR:Trojan.Win32.Generic ]

    Добрый вечер.Защитник обнаруживает вирус. Удаляю, перезагружаю компьютер, вирус появляется снова. Так же вылетает браузер(opera) при открывании некторых сайтов, к примеру Яндекс. Не дает зайти в почтовый ящик, vk.com и при пользовании поисковиками(google, rambler) все время просит ввести номер телефона.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,269
    Вес репутации
    326
    Уважаемый(ая) Andrew1011, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
    Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    Выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     TerminateProcessByName('c:\users\Зенит\appdata\local\temp\3fe76.exe');
     QuarantineFile('C:\Users\Зенит\Documents\Application Data\explorer.exe','');
     QuarantineFile('C:\Users\Зенит\Documents\explorer.dll','');
     QuarantineFile('c:\users\Зенит\appdata\local\wsearch\wsearch.exe','');
     QuarantineFile('c:\users\Зенит\appdata\local\temp\3fe76.exe','');
     DeleteFile('C:\Users\Зенит\AppData\Local\Temp\3fe76.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\oq5elfq7.job','64');
     DeleteFile('C:\Windows\system32\Tasks\oq5elfq7','64');
     DeleteFile('C:\Users\Зенит\documents\application data\explorer.exe','32');
     DeleteFile('C:\Users\Зенит\documents\explorer.dll','32');
     DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','~backup~');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://deposit.filemany-all.ru/?wkey=591045
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    O2 - BHO: SMTTB2009 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - (no file)
    O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
    O4 - HKCU\..\Run: [~backup~] C:\Users\Зенит\Documents\Application Data\explorer.exe
    O20 - AppInit_DLLs: C:\Users\Зенит\Documents\explorer.dll
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
    • Прикрепите отчет к своему следующему сообщению.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  5. mike 1 получил(а) благодарность за это сообщение от


  6. #4
    Junior Member Репутация
    Регистрация
    31.07.2013
    Сообщений
    14
    Вес репутации
    13
    Выполнил все рекомендации. Вроде все впорядке.
    Спасибо!
    Вложения Вложения

  7. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    1)
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

    2) Эту c:\users\Зенит\appdata\local\wsearch программу сами устанавливали?

    3) Сделайте логи RSIT (http://virusinfo.info/showthread.php?t=115256)
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  8. mike 1 получил(а) благодарность за это сообщение от


  9. #6
    Junior Member Репутация
    Регистрация
    31.07.2013
    Сообщений
    14
    Вес репутации
    13
    2) Эту c:\users\Зенит\appdata\local\wsearch программу сами устанавливали?

    Нет
    Вложения Вложения

  10. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    Выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     QuarantineFile('C:\Users\Зенит\AppData\Local\Temp\3fe76.exe','');
     QuarantineFile('C:\Windows\system32\smss.exe','');
     QuarantineFile('C:\Windows\SYSWOW64\user.exe','');
     DeleteFile('C:\Users\Зенит\AppData\Local\Temp\3fe76.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\oq5elfq7.job','64');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.

    Для удаления wsearch выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
    DeleteFile('c:\users\Зенит\appdata\local\wsearch\wsearch.exe','32');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wsearch');
    DeleteFileMask('c:\users\Зенит\appdata\local\wsearch', '*', true, ' ');
    DeleteDirectory('c:\users\Зенит\appdata\local\wsearch');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера.

    Установите Пакет обновления 1 (SP1) для Windows 7

    Обновите Internet Explorer (даже если не используете его)

    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  11. mike 1 получил(а) благодарность за это сообщение от


  12. #8
    Junior Member Репутация
    Регистрация
    31.07.2013
    Сообщений
    14
    Вес репутации
    13
    Сделал обновления.
    Карантина нет.
    Вложения Вложения

  13. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    Выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     QuarantineFile('C:\Users\Зенит\AppData\Local\Temp\3fe76.exe','');
     DeleteFile('C:\Users\Зенит\AppData\Local\Temp\3fe76.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\oq5elfq7.job','64');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    O2 - BHO: HelloWorldBHO - {7825CFB6-490A-436B-9F26-4A7B5CFC01A9} - (no file)
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  14. #10
    Junior Member Репутация
    Регистрация
    31.07.2013
    Сообщений
    14
    Вес репутации
    13
    Опять же не выслал карантин, т.к. согласно инструкции нужно произвести архивирование файлов карантина через AVZ, но после выполнения скриптов там пусто, соотвественно архивировать нечего.
    Вложения Вложения

  15. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Выполните еще раз скрипт из сообщения №9, но в этот раз запускайте AVZ через контекстное меню проводника от имени Администратора. Потом сделайте новые логи AVZ.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  16. #12
    Junior Member Репутация
    Регистрация
    31.07.2013
    Сообщений
    14
    Вес репутации
    13
    Карантин опять же пуст.
    Вложения Вложения

  17. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    Выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     DeleteFile('C:\Windows\system32\Tasks\oq5elfq7.job','64');
     DeleteFile('C:\Windows\Tasks\oq5elfq7.job','64');
     DeleteFile('C:\Users\Зенит\AppData\Local\Temp\3fe76.exe','32');
     BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера.

    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  18. mike 1 получил(а) благодарность за это сообщение от


  19. #14
    Junior Member Репутация
    Регистрация
    31.07.2013
    Сообщений
    14
    Вес репутации
    13
    Пожалуйста.
    Вложения Вложения

  20. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    O2 - BHO: HelloWorldBHO - {7825CFB6-490A-436B-9F26-4A7B5CFC01A9} - (no file)
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    Сделайте новый лог HiJAckThis.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  21. #16
    Junior Member Репутация
    Регистрация
    31.07.2013
    Сообщений
    14
    Вес репутации
    13
    Сделал.
    Вложения Вложения

  22. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Internet Explorer закрывали перед фиксом?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  23. #18
    Junior Member Репутация
    Регистрация
    31.07.2013
    Сообщений
    14
    Вес репутации
    13
    Не пользуюсь им.

    - - - Добавлено - - -

    Вроде получилось убрать те строки.
    Вложения Вложения

  24. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Что с проблемой?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  25. #20
    Junior Member Репутация
    Регистрация
    31.07.2013
    Сообщений
    14
    Вес репутации
    13
    Ну подобного ничего больше не происходит, все работает в обычном режиме. Подозрительного тоже ничего. Виндоус ни на что не ругается.

  • Уважаемый(ая) Andrew1011, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Win32 Dorkbot.F червь. Помогите удалить.
      От diabolik00 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 06.07.2013, 10:56
    2. Win32 Dorkbot.F червь. Помогите удалить
      От Altico в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 05.06.2013, 00:25
    3. Ответов: 6
      Последнее сообщение: 26.03.2013, 22:18
    4. Win32/Dorkbot.A червь - очистка невозможна
      От IamNescafe в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.05.2012, 01:57
    5. червь Win32/Dorkbot.A
      От стас27 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 18.03.2012, 18:36

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01014 seconds with 21 queries