Вирус Dorkbot [not-a-virus:Downloader.Win32.Agent.xdm, Backdoor.Win32.ZAccess.csqf ]

[motorhead]

Здравствуйте.
Подцепил вирус с флешки и теперь не могу избавиться.
После сканирование НОДом вот что высветилось - файл Оперативная память = svchost.exe(2424) модифицированный Win32/Dorkbot.B червь очистка невозможна
Прошу вашей помощи в борьбе с ним. Уж очень не приятная вещь.
Заранее спасибо.

[Info_bot]

Уважаемый(ая) motorhead, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

Выполните скрипт в АВЗ:

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 QuarantineFile('C:\Users\8523~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\ScreenSaverPro.scr','');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Unsssm.exe','');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Insssa.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe','');
 QuarantineFile('c:\users\Александр\appdata\roaming\7b2e.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe','32');
 DeleteFile('C:\Users\Александр\AppData\Roaming\Microsoft\Insssa.exe','32');
 DeleteFile('C:\Users\Александр\AppData\Roaming\Microsoft\Unsssm.exe','32');
 DeleteFile('C:\Users\Александр\AppData\Roaming\ScreenSaverPro.scr','32');
 DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','x222n9');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Insssa');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Unsssm');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O4 - HKCU\..\Run: [Screen Saver Pro 3.1] C:\Users\Александр\AppData\Roaming\ScreenSaverPro.scr
O4 - HKCU\..\Run: [Insssa] C:\Users\Александр\AppData\Roaming\Microsoft\Insssa.exe
O4 - HKCU\..\Run: [Unsssm] C:\Users\Александр\AppData\Roaming\Microsoft\Unsssm.exe
O4 - HKCU\..\Run: [x222n9] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe

Какой у вас провайдер?

Allocation for City-Line Network (Москва) или Kuban-GSM Local Registry (Краснодар)

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
• Прикрепите отчет к своему следующему сообщению.

[motorhead]

Выполнил все как вы написали.
В джеке не было 1 строки - O4 - HKCU\..\Run: [x222n9] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe
Прошу прощения если что-то сделал не так.

[mike 1]

1)

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

2) Сделайте лог полного сканирования MBAM (http://virusinfo.info/showthread.php?t=53070)

3) Сделайте логи RSIT (http://virusinfo.info/showthread.php?t=115256)

[motorhead]

Вроде сделал все как велели.
Mbam могу уже удалить?

[mike 1]

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Код:

Обнаруженные ключи в реестре:  4
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
Обнаруженные папки:  4
C:\Users\Александр\Local Settings\Application Data\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Александр\AppData\Local\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Windows\assembly\GAC_MSIL\WebAltaSearch (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Windows\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88 (PUP.ToolBar.WA) -> Действие не было предпринято.
Обнаруженные файлы:
C:\Users\Александр\AppData\Roaming\1263.exe (Trojan.Zbot.CRV) -> Действие не было предпринято.
C:\Users\Александр\AppData\Roaming\2139.exe (Trojan.Zbot.CRV) -> Действие не было предпринято.
C:\Users\Александр\AppData\Roaming\5601.exe (Trojan.Zbot.CRV) -> Действие не было предпринято.
C:\Users\Александр\AppData\Roaming\7B2E.exe (Trojan.Agent.ED) -> Действие не было предпринято.
C:\Users\Александр\AppData\Roaming\9FC1.exe (Trojan.Zbot.CRV) -> Действие не было предпринято.
C:\Users\Александр\AppData\Roaming\C440.exe (Trojan.Zbot.CRV) -> Действие не было предпринято.
C:\Users\Александр\AppData\Roaming\C591.exe.gonewiththewings (Trojan.Zbot.CRV) -> Действие не было предпринято.
C:\Users\Александр\AppData\Roaming\DD26.exe (Trojan.Zbot.CRV) -> Действие не было предпринято.
C:\Users\Александр\AppData\Roaming\F44B.exe (Trojan.Zbot.CRV) -> Действие не было предпринято.
C:\Users\Александр\AppData\Roaming\temp.bin (Trojan.Zbot.CRV) -> Действие не было предпринято.
C:\Users\Александр\AppData\Roaming\1946.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\Александр\Local Settings\Application Data\Webalta Toolbar\gacutil.exe (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Александр\Local Settings\Application Data\Webalta Toolbar\Interop.SHDocVw.dll (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Александр\Local Settings\Application Data\Webalta Toolbar\uninstall.exe (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Александр\Local Settings\Application Data\Webalta Toolbar\webalta_nw_final_chrome.crx (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Александр\AppData\Local\Webalta Toolbar\gacutil.exe (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Александр\AppData\Local\Webalta Toolbar\Interop.SHDocVw.dll (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Александр\AppData\Local\Webalta Toolbar\uninstall.exe (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Александр\AppData\Local\Webalta Toolbar\webalta_nw_final_chrome.crx (PUP.ToolBar.WA) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

Логи RSIT получились не полные. Сделайте их заново разрешив скачивание HiJackThis.

Сделайте новые логи AVZ.

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Запустите файл TDSSKiller.exe;
3. Нажмите кнопку "Начать проверку";
4. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
8. Самостоятельно без указания консультанта ничего не не удаляйте!!!
9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
10. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

[motorhead]

с MBAM скорее всего напортачил...

[mike 1]

1) Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Код:

Обнаруженные ключи в реестре:
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
Обнаруженные папки:  
C:\Users\Александр\Local Settings\Application Data\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Александр\AppData\Local\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

2) Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

Выполните скрипт в АВЗ:

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFileF('C:\Users\Александр\AppData\Roaming', '*', false, ' ', 0, 0);
 QuarantineFile('C:\Users\Александр\AppData\Roaming\5E17.exe','');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\925D.exe','');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\42E2.exe','');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\F0E7.exe','');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\197B.exe','');
 QuarantineFile('C:\windows\SYSWOW64\shoB769.tmp','');
 DeleteFile('C:\Users\Александр\AppData\Roaming\5E17.exe');
 DeleteFile('C:\Users\Александр\AppData\Roaming\925D.exe');
 DeleteFile('C:\Users\Александр\AppData\Roaming\42E2.exe');
 DeleteFile('C:\Users\Александр\AppData\Roaming\F0E7.exe');
 DeleteFile('C:\Users\Александр\AppData\Roaming\197B.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

3) На вопрос так и не ответили. Какой у вас провайдер?

Allocation for City-Line Network (Москва) или Kuban-GSM Local Registry (Краснодар)

4) Внимание !!! База поcледний раз обновлялась 12.07.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз).

Обновите базы AVZ и сделайте новые логи.

5) Сделайте новые логи RSIT (http://virusinfo.info/showthread.php?t=115256)

- - - Добавлено - - -

Извините сразу не заметил сделайте еще лог TDSSKiller обновленной версии этой http://support.kaspersky.ru/viruses/utility утилиты.

[motorhead]

По поводу провайдера довольно забавно выходит.
Я являюсь "типичным" юзером и может чего не правильно скажу.
На данный момент я нахожусь на территории г. Норильск и тут отсутствует интернет как таковой. Выходит идет через локальную сеть с ценой 2руб/мб. Поэтому я прошу прощение за задержки с ответами.
А в общем итоге преобладает провайдер - "Ростелеком".
К которому переподключиться смогу в конце августа
Если это конечно имеет значение.
Спасибо за понимание и заранее спасибо за помощь.

[mike 1]

Понятно. Спасибо за ваше терпение. Сделайте еще новые логи AVZ.

--- Добавлено ---

Карантин удалите из темы. Архив с карантином пришлите по красной ссылке "Прислать запрошенный карантин".

[motorhead]

Я дико извиняюсь за столь длительный ответ.
Напрочь отсутствовало интернет соединение и никак не мог ответить.
Большое спасибо за понимание и за помощь!

[mike 1]

1) Проверьте следующий ярлык C:\Users\Александр\AppData\Local\Google\Chrome\App lication\chrome.exe в свойствах не прописана ли webalta если прописана удалите в свойствах ярлыка домашнюю страничку webalta.

2) Проверьте эти файлы на virustotal
кнопка Выбрать файл (Choose File) - ищите нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

Код:

C:\windows\DeleteOnReboot.bat
C:\windows\SYSWOW64\shoB769.tmp

3) Что с проблемой?

[motorhead]

https://www.virustotal.com/ru/file/6...is/1376036756/
https://www.virustotal.com/ru/file/e...is/1376037045/
В хроме "вебальта" как стартовая страница загружается, а как удалить её...найти не могу.
Сейчас сделаю сканирование и отвечу на вопрос №3

[thyrex]

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
• Прикрепите отчет к своему следующему сообщению.

[mike 1]

1) Этот C:\windows\SYSWOW64\shoB769.tmp файл запакуйте в zip архив с паролем virus и отправьте согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.

2) Откройте свойства ярлыка Chrome и удалите webalta отсюда. Путь к ярлыку C:\Users\Александр\AppData\Local\Google\Chrome\App lication\chrome.exe

Вложение 430675

[motorhead]

Все сделал.
Рядом с ним было еще 2 похожих по названию. Решил проверить на Virustotal и скидываю что он показал
Антивирус не ругается на Dorkbot.
https://www.virustotal.com/ru/file/e...is/1376039175/
https://www.virustotal.com/ru/file/e...is/1376039410/

[mike 1]

После удаления строки домашней странички webalta в ярлыке Chrome webalta появляется?

[motorhead]

Нет, теперь ничего нету.
Гигантское спасибо за помощь и низкий поклон в ноги.
Реально помогли!
Большое спасибо!

[mike 1]

1) Деинсталлируйте MBAM. Пуск--Панель управления--Установка и удаление программ
Находим там Malwarebytes' Anti-Malware и нажимаем удалить.

2)

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall.
• Подтвердите удаление нажав кнопку: Да.

3) Смените все пароли у вас были следы Zbot. Данный троян ворует пароли к интернет кошелькам.

4) Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

5) Советы и рекомендации после лечения компьютера