Здравствуйте! Антивирус ESS5 обнаружил в оперативной памяти модифицированный Win32/Dorkbot.B червь= очистка невозможна! прошу помочь в удалении зверя..
Printable View
Здравствуйте! Антивирус ESS5 обнаружил в оперативной памяти модифицированный Win32/Dorkbot.B червь= очистка невозможна! прошу помочь в удалении зверя..
Уважаемый(ая) [B]Oleg Barkin[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[b]Oleg Barkin[/b],
Здравствуйте!
1. [URL="http://virusinfo.info/showthread.php?t=130828"]Отключите временно [u]Антивирус[/u][/URL]
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Мои документы\Загрузки\APKAPP.RU_townsmen-premium-v1.0.2.apk','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Mhiwii.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\ScreenSaverPro.scr','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Mhiwii.exe');
DeleteFile('C:\WINDOWS\Tasks\DLL-Files.Com Fixer_MONTHLY.job');
DeleteFile('C:\WINDOWS\Tasks\DLL-Files.Com Fixer_Updates.job');
DeleteFile('C:\WINDOWS\Tasks\Driver Detective-RTMRules.job');
DeleteFile('C:\WINDOWS\Tasks\Driver Detective-RTMScan.job');
DeleteFile('C:\WINDOWS\Tasks\Driver Detective-RTMUpdater.job');
DeleteFile('C:\WINDOWS\Tasks\Driver Whiz-RTMRules.job');
DeleteFile('C:\WINDOWS\Tasks\Driver Whiz-RTMScan.job');
DeleteFile('C:\WINDOWS\Tasks\Driver Whiz-RTMUpdater.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
[U]После перезагрузки![/U]
3. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" [U]вверху темы[/U].
4. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в HijackThis :
[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.certified-toolbar.com?si=39053&home=true&tid=411
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{67968F3F-DFF5-48E3-862D-D0EBBD783364}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{828B384D-C83F-4004-9B66-3075D089C572}: NameServer = 127.0.0.1
[/CODE]
5. [URL="http://virusinfo.info/content.php?r=136-pravila"]Сделайте лог AVZ[/URL]