Решена - Оперативная память - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем maksimfccska, 1 окт 2015.

  1. maksimfccska

    maksimfccska Newbie

    Здравствуйте.
    Nod выдает такое: "Оперативная память - модифицированный Win32/Dorkbot.B червь - очистка невозможна"

    Прилагаю:
    образ автозапуска - http://rghost.ru/7wdSZcRFW
    логи утилит AVZ - http://rghost.ru/7Vyj8Ydhl
    HiJackThis - http://rghost.ru/65BTpTJ77

    Помогите пожалуйста избавиться от червя.
     
    maksimfccska, 1 окт 2015
    #1
  2. oleg

    oleg Expert Вирусоборец

    Доброго времени суток!

    1. Отключите антивирус/файрволл и закройте все браузеры!

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли


    3. В папке с программой UVS будет файл script.cmd

    Запустите файл, запустится окно программы для ввода скрипта,
    скопируйте скрипт написанный ниже и вставьте в окно программы.

    Код:
    ;uVS v3.85 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
delref HTTP://WWW.RAMBLER.RU/?UTM_SOURCE=R40&UTM_MEDIUM=DISTRIBUTION&UTM_CONTENT=E08&UTM_CAMPAIGN=C01
delref HTTP://TOP-PAGE.RU/5
delref HTTP://GO.MICROSOFT.COM/FWLINK/?LINKID=69157
delref WWW.TOP-PAGE.RU/5
delall %SystemDrive%\USERS\МАКСИМАЕЕК\APPDATA\ROAMING\XMHAHX.EXE
delall %SystemRoot%\ACTOFVL\OSPP.VBS
delall %SystemDrive%\USERS\МАКСИМАЕЕК\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\MINI-KMS AUTO ACTIVATION TOOL\DELETE AUTO ACTIVATION TOOL 1.13.LNK
delall %SystemRoot%\ACTOFVL\CLEAR.CMD
delall %SystemRoot%\ACTOFVL\CLIP.EXE
delall %SystemRoot%\ACTOFVL\AAOVL.EXE
regt 1
regt 2
regt 12
regt 20
deltmp
delnfr
restart
    И жмем кнопку Выполнить.
    На запросы программы по удалению жмите ДА

    После выполнения скрипта компьютер перезагрузится.


    5. Cделайте лог MBAM (подробнее) и
    дайте ссылку на файл лога.
    *выполнять обязательно!
    Если лог не открылся, нажмите "Показать Результаты", сохраните отчет и дайте на него ссылку.
     
    oleg, 5 окт 2015
    #2
  3. maksimfccska

    maksimfccska Newbie

    Спасибо, все сделал, вот выкладываю
    ссылку на файл лога MBAM - http://rghost.ru/8kxW96BZv
     
    maksimfccska, 7 окт 2015
    #3
  4. oleg

    oleg Expert Вирусоборец

    Если вам не знакома папка "NEW PRODUCT" и все ее содержимое, то:

    Удалить найденные в MBAM строки и перезагрузить компьютер.
    Код:
    [B]Разделы реестра: 1[/B]
Backdoor.Agent.CoGen, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\NewProduct 1.00, , [440ba3138efc9e98ebb752a9a064fd03], 


[B]Файлы: 9[/B]
PUP.Optional.Zona, C:\Users\Максимаеек\Downloads\univer._novaya_obshchaga_sezon_1-4_serii_1-77_iz_77_konstantin_smipnov_2011-2013_sitkom_komediya_sat.exe, , [3e112f87c9c1f2440ed7ce6d1ee321df], 
Backdoor.Agent.CoGen, C:\Program Files\Company\NewProduct\Uninstall.ini, , [440ba3138efc9e98ebb752a9a064fd03], 
Backdoor.Agent.CoGen, C:\Program Files\Company\NewProduct\1.txt, , [440ba3138efc9e98ebb752a9a064fd03], 
Backdoor.Agent.CoGen, C:\Program Files\Company\NewProduct\all2.vbs, , [440ba3138efc9e98ebb752a9a064fd03], 
Backdoor.Agent.CoGen, C:\Program Files\Company\NewProduct\all3.vbs, , [440ba3138efc9e98ebb752a9a064fd03], 
Backdoor.Agent.CoGen, C:\Program Files\Company\NewProduct\allr.bat, , [440ba3138efc9e98ebb752a9a064fd03], 
Backdoor.Agent.CoGen, C:\Program Files\Company\NewProduct\bat.bat, , [440ba3138efc9e98ebb752a9a064fd03], 
Backdoor.Agent.CoGen, C:\Program Files\Company\NewProduct\otstuk_id.txt, , [440ba3138efc9e98ebb752a9a064fd03], 
Backdoor.Agent.CoGen, C:\Program Files\Company\NewProduct\Uninstall.exe, , [440ba3138efc9e98ebb752a9a064fd03],
    Сообщить, решена ли проблема?

    Если проблема решена, то при наличии на ПК доступа в интернет:

    Для закрытия уязвимостей, выполните скрипт в AVZ:
    Запустите AVZ, нажмите "Файл" - "Выполнить скрипт"
    Скопируйте скрипт написанный ниже и вставьте в окно программы, нажмите "Запустить".

    Код:
    var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
    После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления,
    которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

    Если форум оказался полезен вам и вашему компьютеру, по возможности, поддержите его работу -
     
    oleg, 19 окт 2015
    #4

Поделиться этой страницей