win32.dorkbot
 

Писал, распислывал пока комп не завис. Вообщем заразился я этим вирусом с флешки. Флешка была друга, поэтому особо не заморачивался.
Сканировал cureit, нашел еще Neshta. Не знаю вылечил или нет, но dorkbot остался. Логи прикрепил

Дополню: В процессах висит mspaint, заблокирован cmd? в некоторых файлах расположение файла выглядит так:

Большую часть файлов не открывает

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:


Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
-----------------------------------------------------------------------

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки.
3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
4. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
5. Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
   
   Код:

   ---

   ;uVS v3.73 script [http://dsrt.dyndns.org]

adddir %SystemDrive%\USERS\aio\APPDATA\ROAMING
crimg

   ---

6. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
7. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
8. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат"имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению

9. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

10. Подробнее читайте в руководстве Как подготовить лог UVS

Файл quarantine.zip отправил, лог uVS прикрепил

upd// прошу обновить, ибо залил не тот лог uVS

werdexx, похоже вы не дождались окончания создания образа (он повреждён). Пожалуйста дождитесь окончания работы утилиты, при этом если в системе установлен архиватор, то по окончанию образ будут автоматически упакован в архив.

Тогда, возможно вам нужен вот этот файл, я надеюсь.

Вы заражены файловым вирусом, пожалуйста пролечитесь как указано в этой теме Как вылечить систему от файлового вируса? а после этого сделайте и прикрепите новые логи.

ooh.. Не получается запустить live cd usb .. Сначала возникала ошибка
Сейчас же, вообще не находит флешку, пишет:
..
Не знаю что и делать

Попробую Kaspersky Rescue Disk 10, может что и выйдет.

Все оказалось куда проще, я тупанул что-то ><
Вообщем, как говорит dr.web Neshta он вылечил. Прикрепляю новые логи:

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
   
   Код:

   ---

   ;uVS v3.80.2 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

; C:\USERS\AIO\APPDATA\ROAMING\TEMP.BIN
addsgn A7679B1991A64F4FD7B4EFB165F5CAC1648AFFCB5D395E78ACFE31D811D6F819C79CDE8FFA149D7236DC41DE46635BF97867B23355FBB5F4CA36A4C4F1724E93 8 Backdoor.Win32.Androm.wvn [Kaspersky]

zoo %SystemDrive%\USERS\AIO\APPDATA\ROAMING\TEMP.BIN
bl 09E8C84AEA5894693D0E15D5A9D974A6 114176
; zoo %SystemDrive%\USERS\AIO\APPDATA\ROAMING\TEMP.BIN
delall %SystemDrive%\USERS\AIO\APPDATA\ROAMING\MICROSOFT\WTUAUW.EXE
chklst
delvir
restart

   ---

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
   

   Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
8. Подробнее читайте в этом руководстве.

сделайте новый образ автозапуска uVS .

+ лог log.txt от RSIT тоже свежий сделайте.

После выполнения скрипта архива в папке не оказалось, но оказалась папка ZOO. Отправил письмо как сказано в инструкции.

log.txt
uVS прикрепил

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

после выполнения скрипта компьютер перезагрузится.

Сделайте новый лог log.txt.
---------------------------------------------------------------------

+ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Выполните обновление баз (Меню Файл - Обновление баз)
3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
5. Закачайте полученный архив, как описано на этой странице.
6. Если размер архива превышает 20 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, Dump.Ru или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

---------------------------------------------------------
что с проблемой ?

Архив залил
log.txt прикрепил.

Ну по крайней мере фаерволл больше не выдает сообщение о вирусе win32.dorkbot ;)

больше никаке логи делать не надо?
Если нет, можете пометить тему как "решено"

Последний скрипт когда выполняли AVZ запустили правой кнопкой от имени админа ?

Вижу у вас установлен CCleaner запустите его, нажмите:

Сервис -> Автозагрузка -> Windows -> удалите там следующие ключи автозапуска

Будьте внимательно и не удалите случайно, что-нибудь другое.

после этого сделайте свежий лог log.txt

+

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом разделе форума поддержки утилиты.

Насколько я помню, все скрипты выполнял от имени админа.
Логи прикрепил, Автозапуск почистил.

таки это все? Можно закрывать?

простите, не заметил вашу тему.

Выполните рекомендации после лечения

и на этом всё.
Удачи :).