Призагрузке сообщение от ESETNOD32 "winlogon.exewin32/dorkbot.B червь угроза памяти, очистка невозможна"
оформленов соответствии с инструкцией «Помогите»
Проверено VirusDetecter
VirusDetecterрекомендовал дальнейшее обследование
Помогите!
Спасибо.
Призагрузке сообщение от ESETNOD32 "winlogon.exewin32/dorkbot.B червь угроза памяти, очистка невозможна"
оформленов соответствии с инструкцией «Помогите»
Проверено VirusDetecter
VirusDetecterрекомендовал дальнейшее обследование
Помогите!
Спасибо.
Уважаемый(ая) Elenikas, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
логи сканирования утилитами приложены
Help
скачайте актуальную версию AVZ 4.43, обновите базы и переделайте логи.
логи переделаны
использована версия AVZ 4.43 с обновленными базами
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\users\9b7a~1\appdata\local\temp\windows\winsys.exe'); TerminateProcessByName('c:\users\9b7a~1\appdata\local\temp\hwore.exe'); QuarantineFile('C:\Users\Николаева Елена\AppData\Roaming\Identities\Hcvwvd.exe',''); QuarantineFileF('C:\ProgramData\CreativeAudio','*.exe', true,'',0 ,0); QuarantineFileF('C:\Users\Николаева Елена\AppData\Roaming\Identitie','*.exe', true,'',0 ,0); QuarantineFile('C:\Users\Николаева Елена\appdata\local\temp\windows\winsys.exe',''); QuarantineFile('C:\Users\Николаева Елена\appdata\local\temp\adobe\reader_sl.exe',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\Users\9B7A~1\AppData\Local\Temp\Adobe\Reader_sl.exe',''); QuarantineFile('C:\RECYCLER\mscinet.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5618147819\atnxw11a9.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1770020\a77700j.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1753420\a761222j.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455986\s2361a1.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1086520\dq61aa.exe',''); QuarantineFile('C:\ProgramData\CreativeAudio\hemxccape.exe',''); QuarantineFile('C:\PROGRA~2\msjpwkil.exe',''); QuarantineFile('c:\users\9b7a~1\appdata\local\temp\windows\winsys.exe',''); QuarantineFile('c:\users\9b7a~1\appdata\local\temp\kb02321700.exe',''); QuarantineFile('c:\users\9b7a~1\appdata\local\temp\hwore.exe',''); DeleteFile('C:\Users\Николаева Елена\AppData\Roaming\Identities\Hcvwvd.exe','32'); DeleteFile('c:\users\9b7a~1\appdata\local\temp\hwore.exe','32'); DeleteFile('C:\PROGRA~2\msjpwkil.exe','32'); DeleteFile('C:\ProgramData\CreativeAudio\hemxccape.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1086520\dq61aa.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455986\s2361a1.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1753420\a761222j.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1770020\a77700j.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5618147819\atnxw11a9.exe','32'); DeleteFile('C:\Users\9B7A~1\AppData\Local\Temp\Adobe\Reader_sl.exe','32'); DeleteFile('C:\Users\9B7A~1\AppData\Local\Temp\windows\winsys.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Windows Update Check - 0x0E7302EC','32'); DeleteFile('c:\users\9b7a~1\appdata\local\temp\kb02321700.exe','32'); DeleteFile('D:\autorun.inf','32'); DeleteFile('C:\Users\Николаева Елена\appdata\local\temp\adobe\reader_sl.exe','32'); DeleteFile('C:\Users\Николаева Елена\appdata\local\temp\windows\winsys.exe','32'); DeleteFile('C:\recycler\mscinet.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Hcvwvd'); RegKeyParamDel('HKEY_USERS','S-1-5-21-3201524824-3352410532-2109934972-1003\Software\Microsoft\Windows\CurrentVersion\Run','a77007'); RegKeyParamDel('HKEY_USERS','S-1-5-21-3201524824-3352410532-2109934972-1003\Software\Microsoft\Windows\CurrentVersion\Run','Windows Security Firewall Manager'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','1687617716'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dq61aa'); RegKeyParamDel('HKEY_USERS','S-1-5-21-3201524824-3352410532-2109934972-1003\Software\Microsoft\Windows\CurrentVersion\Run','dq61aa'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','s2361a121'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','a77007'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','a7127'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','antaw411r9'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Security Firewall Manager'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Service'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); ExecuteWizard('SCU',2,2,true); BC_Activate; end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
повторные логи по правилам п.2 и 3 раздела Диагностика после выполнения скрипта
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\programdata\creativeaudio\ttdasndku.exe'); QuarantineFile('C:\Users\Николаева Елена\appdata\local\temp\adobe\reader_sl.exe',''); QuarantineFile('C:\Users\9B7A~1\AppData\Local\Temp\Adobe\Reader_sl.exe',''); QuarantineFile('C:\PROGRA~2\msjpwkil.exe',''); QuarantineFile('c:\programdata\creativeaudio\ttdasndku.exe',''); DeleteFile('C:\PROGRA~2\msjpwkil.exe','32'); DeleteFile('C:\Users\9B7A~1\AppData\Local\Temp\Adobe\Reader_sl.exe','32'); DeleteFile('C:\Users\Николаева Елена\appdata\local\temp\adobe\reader_sl.exe','32'); DeleteFile('C:\ProgramData\CreativeAudio\ttdasndku.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','1687617716'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог полного сканирования МВАМ.
повторные логи по правилам п.2 и 3 раздела Диагностика после выполнения скрипта
и лог полного сканирования МВАМ
Сделали на самом деле лог быстрого сканирования. Нужен лог полного сканирования. (Custom Scan)лог полного сканирования МВАМ
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
не могу скачать по ссылке http://www.malwarebytes.org/mbam-download.php
сообщение "cервер www.malwarebytes.org не найден из-за ошибки поиска DNS (веб-службы, которая преобразует название веб-сайта в интернет-адрес). Обычно это вызвано отсутствием подключения к Интернету или неправильной настройкой сети. Возможно, недоступен сервер DNS. Кроме того, доступ программы Google Chrome к сети может блокировать брандмауэр.
Код ошибки: DNS_PROBE_FINISHED_NXDOMAIN"
мне скачали некую пробную версию 2.0.2.1012 там нет возможности выбора, только одна большая кнопка "Сканировать Сейчас"
Что делать?
Если MBAM ещё не закрыли, то
Удалите в MBAM всё найденное.
потом сделайте лог полного сканирования.
- - - Добавлено - - -
выберите пользовательский скан, а потом http://i60.fastpic.ru/big/2014/0326/b9/5a9a1b47a1d5f7187192b9e2911890b9.jpg
Здравствуйте,
лог полного сканирования МВАМ в догонку к вчерашним логам AVZ
Спасибо!
Проблема устранена.
MBAM деинсталируйте.
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Советы и рекомендации после лечения компьютера
Спасибо
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 55
- В ходе лечения обнаружены вредоносные программы:
- c:\programdata\creativeaudio\hemxccape.exe - Trojan.Win32.Yakes.eyxb ( BitDefender: Trojan.GenericKD.1697233, AVAST4: Win32:Injector-BTZ [Trj] )
- c:\programdata\creativeaudio\ttdasndku.exe - Trojan.Win32.Yakes.ezyr ( DrWEB: Trojan.Betabot.3, BitDefender: Trojan.GenericKD.1703232, AVAST4: Win32:Malware-gen )
- c:\progra~2\msjpwkil.exe - Backdoor.Win32.Androm.elmu ( DrWEB: Trojan.Packed.26926, BitDefender: Trojan.GenericKD.1703233, AVAST4: Win32:Malware-gen )
- c:\recycler\mscinet.exe - Backdoor.Win32.Azbreg.zvk ( BitDefender: Trojan.GenericKD.1700566, AVAST4: Win32:Zbot-TYQ [Trj] )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-1086520\dq61aa.exe - Trojan-Proxy.Win32.Lethic.bsn ( DrWEB: Win32.HLLW.Autoruner2.1926, BitDefender: Trojan.GenericKD.1703322 )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-1455986\s2361a1.exe - Backdoor.Win32.Azbreg.zve ( BitDefender: Trojan.GenericKD.1698850, AVAST4: Win32:Kryptik-NWD [Trj] )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-1753420\a761222j.exe - Trojan-Proxy.Win32.Lethic.bsl ( BitDefender: Trojan.GenericKD.1697505, AVAST4: Win32:Crypt-QZZ [Trj] )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-1770020\a77700j.exe - Worm.Win32.Hamweq.pmd ( BitDefender: Trojan.GenericKD.1701389 )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-5618147819\atnxw11a9.exe - Backdoor.Win32.Azbreg.zuz ( BitDefender: Trojan.GenericKD.1697577, AVAST4: Win32:Crypt-QZZ [Trj] )
- c:\users\9b7a~1\appdata\local\temp\adobe\reader_sl .exe - Worm.Win32.Ngrbot.aerl
- c:\users\9b7a~1\appdata\local\temp\adobe\reader_sl .exe - Worm.Win32.Ngrbot.aedn ( BitDefender: Trojan.GenericKD.1683200, AVAST4: Win32:Malware-gen )
- c:\users\9b7a~1\appdata\local\temp\windows\winsys. exe - Trojan-Dropper.Win32.Agent.kvca ( BitDefender: Trojan.GenericKD.1700567, AVAST4: Win32:Malware-gen )
Уважаемый(ая) Elenikas, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.