Printable View
Добрый день! Помогите, пожалуйста, вылечиться от вируса Dorkbot.AS. его находит Windows Defender, но вылечить не может. Есть подозрение на процесс explorer.exe, который лежит в C:\Users\Администратор\Documents\Application Data. Но удалить файлы не получается, пока процесс запущен. А процесс убить не дает. Прошу помощи, спасибо!
Уважаемый(ая) [B]Posh[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте.
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
ClearQuarantine;
TerminateProcessByName('c:\users\Администратор\documents\application data\explorer.exe');
QuarantineFile('C:\Program Files\Windows Media Player\wmpnscfg.exe','');
QuarantineFile('C:\Users\Администратор\Documents\Application Data\explorer.exe','');
QuarantineFile('C:\Windows\System32\taskmgr.exe','');
QuarantineFile('C:\Users\Администратор\Documents\explorer.dll','');
QuarantineFile('C:\Windows\explorer.exe','');
DeleteFile('c:\users\Администратор\documents\application data\explorer.exe','32');
DeleteFile('C:\Users\Администратор\Documents\explorer.dll','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','~backup~');
DeleteFile('C:\Users\Администратор\Documents\Application Data\explorer.exe','32');
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Загрузите quarantine.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" в шапке этой темы.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" [URL="http://virusinfo.info/pravila.html"]правил[/URL]) и приложите в теме.
Добрый день!
Спасибо за быстрый отклик.
После выполнения скрипта, процессы ушли, а броузеры работают в штатном режиме, вроде помогло, спасибо!
Файл карантина не загружается, пишет что уже был загружен. Все прикладываю к письму.
HijackThis запускайте правой кнопкой мыши - "Запустить от имени Администратора".
Пофиксите в HijackThis только указанные строки [URL="http://virusinfo.info/showthread.php?t=4491"](как пофиксить)[/URL]:
[CODE]
O4 - HKCU\..\Run: [~backup~] C:\Users\Администратор\Documents\Application Data\explorer.exe
O20 - AppInit_DLLs: C:\Users\Администратор\Documents\explorer.dll
[/CODE]
Сделайте заново лог HijackThis (пункт 3 раздела "Диагностика" [URL="http://virusinfo.info/pravila.html"]правил[/URL]) и приложите в теме.
Выполните скрипт в AVZ отсюда, скопировав там весь текст [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[url]http://dataforce.ru/~kad/ScanVuln.txt[/url]
Если будут найдены уязвимости, в папке AVZ\LOG появится файл avz_log.txt. Приложите его в теме.
Затем откройте его в блокноте, пройдите по всем ссылкам и установите указанные там обновления.
Перезагрузите компьютер, выполните еще раз этот скрипт и убедитесь, что обновления установились.
Добрый день!
Файлы приложил.
PS: вирус, кстати, подхватил с этого сайта, скачав типа ридер m y d j v u . r u
Будьте осторожны, спасибо!
Да, есть там троян: [url]https://www.virustotal.com/ru/file/e30b327b749186905277ff2b41cf58e6b2b877385d17af8d72675529b6725167/analysis/1374671541/[/url]
Так что ссылку нехорошую уберите из сообщения.
Если обновления установились, то можно заканчивать.
Да, спасибо!
Все установилось, проблем не наблюдаю.