Помогите! Вирус dorkbot.a и в добавок aadrive32.exe
Доброй ночи. Вчера nod32 обнаружил вирус в памяти dorkbot.a и вирус aadrive32.exe.
Первый очищен не может быть!, второй очищается удалением, но при перезагрузке он опять появляется.
Пробовал лечить dr.web curelt, к сожалению не помог. avz тоже ничего не смог сделать.
Из за вирусов тормозиться работа браузеров, игр и приложений примерно через минут 15-30 после запуска.
Дальше решил самолечением не заниматься и написать вам.
Надеюсь поможете.
Заранее спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Casperok12345, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\scleaner.exe','');
QuarantineFile('C:\WINDOWS\aadrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\Documents and Settings\Василий\Application Data\Ynsssq.exe','');
QuarantineFile('c:\documents and settings\Василий\application data\20.tmp','');
DeleteFile('C:\Documents and Settings\Василий\Application Data\Ynsssq.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
DeleteFile('C:\WINDOWS\aadrive32.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\scleaner.exe');
DeleteFileMask('c:\documents and settings\Василий\application data', '*.tmp',false);
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_ServiceKill('kesbtd');
BC_Activate;
RebootWindows(true);
end.
Вот логи.
И еще, пока ждал ответа еще раз скачал dr.web Curelt, проверил им диск, он нашел оба вируса и удалил их!
Соответственно после этого уже делал скрипт который в теме.
Огромное спасибо!
Однако осталась проблема - на флешке не видит папки, хотя они есть.
Запустил dr.webcurelt - он нашел вирус dorkbot и удалил его, однако папки на флешке все равно не видны.
Что делать?
Очевидно, папки скрыты. Если включить показ скрытых файлов, вы их увидите. Снять атрибут скрытый Проводником скорее всего не получится. Поможет Total Commander или консольная команда attrib.
Снять атрибут скрытый не получилось через nc ни через tc. Пришлось через nc копировать папки с флешки в на диск.
Вопрос: что делать с флешкой? формат поможет ??
И еще вородовские и остальные файлы, которые были в папках стали с кривыми именами, при открытие ворд пишет что не может запустить какой-то конвектор. После нажатия ок три четыре раза открывает файл.
На самой флешке файлы которые видны нормально открываются.
С флешкой все получилось спасибо.
Антивируса dr.Web будет достаточно чтобы не пролез опять этот вирус?
Хотя у меня до этого тоже стоял антивирусник(nod32) и как он пролез непонятно.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: