вылетает сообщение [Worm.Win32.Ngrbot.ahie ]

**Карэн** · 17.10.2015, 23:07

здравствуйте ,проблема такова ,хотел отформатировать флешку с музыкой (997 "О" флешка) ,на флешке папка с ярлыком (музыка) ,форматировать никак не получалось ,ни через безопасный режим ,ни через Лайв сиди ,ни через сторонние проги ,(через лайв сиди записи просто удалил ,а форматировать не получалось )..потом опять все востановил что было на флешке через стороннюю прогу ..при попытке форматирования писало что "виндовз не может закончить форматирование"или еще что то в этом роде ,потом я попытался открыть эту папку кликая по ней ,папка открылась ,там музыкальные записи но без ярлыков ..после того как я открыл вылетело сообщение через защитник виндовз о черве
Win32/Dorkbot и стало вылетать сообщение вставьте диск в устройство \devici\harddisk3\Dr3/,на компе сейчас еще одна флешка с проблемой форматирования отмечена как устройство сьемный диск М ,тоже не давало форматировать ..спасибо за помощь

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 17.10.2015, 23:09

Уважаемый(ая) Карэн, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 19.10.2015, 09:17

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Karen\appdata\roaming\c731200', '');
 QuarantineFile('C:\Users\Karen\AppData\Roaming\Update\Explorer.exe', '');
 QuarantineFile('C:\Users\Karen\AppData\Roaming\Microsoft\Windows\Zvlilh.exe', '');
 DeleteFile('C:\Users\Karen\AppData\Roaming\Microsoft\Windows\Zvlilh.exe', '32');
 DeleteFile('C:\Users\Karen\AppData\Roaming\Update\Explorer.exe', '32');
 DeleteFile('C:\Users\Karen\appdata\roaming\c731200', '32');
 DeleteFileMask('C:\Users\Karen\AppData\Roaming\Update', '*', true);
 DeleteDirectory('C:\Users\Karen\AppData\Roaming\Update');
 ExecuteFile('schtasks.exe', '/delete /TN "Media Player Updater" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Explorer Manager');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Zvlilh');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

**Карэн** · 19.10.2015, 13:14

присылаю лог

**Vvvyg** · 19.10.2015, 13:34

Не то, перечитайте инструкцию. Файл с расширением .7z нужен.

**Карэн** · 19.10.2015, 13:58

присылаю

**Vvvyg** · 19.10.2015, 14:26

Выполните скрипт в uVS:

Код:

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
delref %SystemDrive%\USERS\KAREN\APPDATA\ROAMING\IDM\IDMMZCC5
delref %SystemDrive%\PROGRAM FILES\INTERNET DOWNLOAD MANAGER\IDMGCEXT.CRX
uidel C:\Program Files\InstallShield Installation Information\{31187E06-E131-4709-9285-7D105D77AA89}\setup.exe -runfromtemp -l0x0009
delref %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\ДРУГВОКРУГ\UNINST.EXE
delref %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\ДРУГВОКРУГ\ДРУГВОКРУГ.URL
delref %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\ДРУГВОКРУГ\DRUGVOKRUG.EXE
regt 5
deltmp
restart

Компьютер перезагрузится.

Сообщите, что с проблемой.

**Карэн** · 19.10.2015, 16:06

так вроде все хорошо ,сообщеня не вылетают ,в а как быть с флешкой ,на которой ярлык?...вдруг опять запуститься?

**Vvvyg** · 19.10.2015, 20:41

Сам не запустится. Перепишите с неё всё нужное и отформатируйте.

**Карэн** · 19.10.2015, 23:15

Сообщение от Vvvyg

Сам не запустится. Перепишите с неё всё нужное и отформатируйте.

не получаеться отформатировать ,пишет "Виндоз не удаеься завершить форматирование" ..наверное флешку лечить нужно?

**Vvvyg** · 20.10.2015, 00:06

Какая буква диска у флэшки?

**Карэн** · 20.10.2015, 05:39

Сообщение от Vvvyg

Какая буква диска у флэшки?

один флешка воопще перестала открываться ,пишет форматировать у не буква "М" ,а другая буква"О" ,это которая с ярлыком ,не удаеться отформатировать

**Vvvyg** · 20.10.2015, 08:58

При подключенной флэшке с именем диска O: выполните скрипт в uVS:

Код:

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
adddir o:
crimg

Будет сформирован новый полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.

**Карэн** · 20.10.2015, 11:30

Сообщение от Vvvyg

При подключенной флэшке с именем диска O: выполните скрипт в uVS:

Код:

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
adddir o:
crimg

Будет сформирован новый полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.

присылаю ссылку http://rghost.ru/7T9HvJqcp

**Vvvyg** · 20.10.2015, 16:56

Опять-таки при подключённой флэшке выполните скрипт:

Код:

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
offsgnsave
; O:\CPLPWXV.EXE
addsgn 1A1F209A5583528CF42B627DA89B448E61AEE4FD498F07F3C9E7D13714F2617FF1E032DCE6DED96D2777751495FD0871B554B4564151E4083DFCE00BCBD7CBA2 8 Worm:Win32/Dorkbot.I [Microsoft]

zoo O:\CPLPWXV.EXE
chklst
delvir
del O:\БЛОТНЯК.LNK
czoo
restart

Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Сообщите, что с проблемами.

**Карэн** · 21.10.2015, 00:15

папка с ярлыком осталась,при попытке форматирования пишет что не удалось форматировать флешку ,файловая система была фат 32 ,теперь стала RAW и опять стала фат 32

**Vvvyg** · 21.10.2015, 09:53

Попробуйте в безопасном режиме отформатировать.

**Карэн** · 21.10.2015, 14:28

Сообщение от Vvvyg

Попробуйте в безопасном режиме отформатировать.

при начале форматирования в безопасном режиме файловая система фат32 ,потом после завершения форматирования ,когда показывает уже 100 процентов ,вылетает сообщение что "не удаеться отфармотировать " и меняеться файловая система флешки на
RAW,я понимаю что здесь наверное уже неисправна сама ФС флешки ,что с ней сделать?

**Vvvyg** · 21.10.2015, 14:51

Попробуйте на другом компьютере. Если не получится - к флэшкам Transcend например, есть утилиты восстановления, к другим, возможно, тоже.

**Карэн** · 24.10.2015, 03:01

попробовал открыть флешку (папку) сейчас опять стало вылетать сообщения о том чтобы вставить диск ,и стало часто вылетать и сообщение о вирусе в защитнике