Dorkbot.B

Upean · 11.10.2012, 21:38

Здравствуйте! Возникла проблема - появился червь Dorkbot.B. Кто - то прислал спамом через скайп, а младший брат решил посмотреть. Итог - сидит в winlogon`е в оперативке, особых лагов не вызывает, но беспокоит.

Логи - AVZ, uVS, RSIT - все оптом в одном архиве, вот тут: http://rghost.ru/40875276

Да, еще есть проблема - брат умудрился и телефон подключить к компу. Samsung GT S5230 STAR, на карте памяти образовался ярлык "Игры.lnk", папка RECYCLER с папкой (не открывается) и exe`- файлом (тоже не открывается).
На всякий папку RECYCLER, Игры и Игры.lnk удалил, но вот думаю - не может ли он быть теперь источником заразы? К компу подключается только в виде съемного диска, и то на пару секунд. Что делать?

Выручайте, Товарищи, братик вот уже второй час с кровати не встает - ревет да ревет.

safety · 11.10.2012, 21:53

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %Sys32%\YQCTZGJ.DLL
zoo %Sys32%\FTNXHTK.DLL
zoo %Sys32%\ZABXAFN.DLL
zoo %Sys32%\USDOLDM.DLL
addsgn 98EC9F3F436A4CD10B94EEB1A3CDD742658AF4F689FAD87D4C8485BC58D6714C4BD284173EBD095F2B80EE9F2C1623FA82EAE83215DA582A2D77A47F2F633473 8 dork.1011
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\KXXTXD.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA
delref %Sys32%\FTNXHTK.DLL
bl 270795BFB23CD3E7BEEE7360460767B2 41472
chklst
delvir
deltmp
delnfr
czoo
regt 5
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: ZOO_2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту sendvirus2011@gmail.com
----------
далее,
выполните быстрое сканирование в Malwarebytes

Upean · 16.10.2012, 01:30

Скрипт выполнил, сканирование провел. Программа нашла и удалила 12 файлов.

Проблемы -

1. Стали долго загружаться личные параметры пользователя при загрузке ОС
2. Не работает Opera, Chrome. Может, какие - то еще браузеры, не проверял.

Изображение 1. http://hostingkartinok.com/show-imag...490e52c608884d

Изображение 2. http://hostingkartinok.com/show-imag...80c7434c382374

Изображение 3. http://hostingkartinok.com/show-imag...f14c7dec231796

Сижу с Pale Moon`a. Вроде держится.

Проверка локального диска ESET`oм ничего не дала, кроме того - он перестал обновляться.

---------- Добавлено в 00:30 ---------- Предыдущее сообщение было написано в 00:27 ----------

Да, на всякий - папка с Оперой весит 38.9 мб.

И подтормаживает загрузка страниц в целом.

Angel-iz-Ada · 16.10.2012, 01:32

Сделайте новый лог uVS

safety · 16.10.2012, 07:05

Upean, реагируйте быстрее, система скорее всего не пролечена до конца. нужен новый образ автозапуска.

Upean · 16.10.2012, 18:05

http://rghost.ru/40970917

Angel-iz-Ada · 16.10.2012, 18:42

Выполните скрипт в uVS:

Цитата:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %Sys32%\YLLYDGJ.DLL
bl 270795BFB23CD3E7BEEE7360460767B2 41472
bl 6DDF334C6406CC869C68C14B9DF6CAB0 2180712
bl D9B04D561A2F62429FD53B6AD97C8446 9106664
deltmp
delnfr
delref HTTP://WWW.MAIL.RU/CNT/7227
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2\MEDIAGET.EXE
delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE
delref %Sys32%\YLLYDGJ.DLL
restart

Upean · 16.10.2012, 20:41

Итак. Загрузка параметров по - прежнему длится долго, ~секунд 30, при обычных 10. Но, тьфу - тьфу - тьфу, браузеры заработали.
Лог uVS нужен?

Arkalik · 16.10.2012, 22:06

Angel-iz-Ada, Забыл добавить вирус в архив?!

Angel-iz-Ada · 16.10.2012, 22:16

Arkalik,
нет. он там не нужен - файл давно всеми детектится
Upean,
сделайте лог Мбам и лог HiJack

Upean · 17.10.2012, 17:16

http://rghost.ru/40989302

safety · 17.10.2012, 17:28

в HJ пофиксите эту строку

Цитата:

F2 - REG:system.ini: Shell=C:\WINDOWS\EXPLORER.EXE

если проблема решена,
выполните закрытие уязвимостей
Выполните скрипт в AVZ при наличии доступа в интернет:
--------

Код:

begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile(GetAVZDirectory  + 'log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false)
 else MessageDlg('Часто используемые уязвимости не обнаружены.', mtInformation, mbOk, 0);
end.

---------
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.

Angel-iz-Ada · 17.10.2012, 17:29

еще в HiJack желательно почистить автозагрузку. пофиксите эти значения:

Цитата:

R3 - URLSearchHook: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files\DVDVideoSoftTB\prxtbDVDV.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DVDVideoSoftTB - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files\DVDVideoSoftTB\prxtbDVDV.dll
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: script helper for ie - {9B5FB65F-631E-4564-ABF2-AD71845B28E0} - C:\Program Files\Get-Styles 2.0\ie\jsloader.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O3 - Toolbar: Get-Styles toolbar v3 - {5BCDC9E9-A980-4B53-B2E8-60CFF484DA61} - C:\Program Files\Get-Styles 2.0\ie\toolbar.dll
O3 - Toolbar: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files\DVDVideoSoftTB\prxtbDVDV.dll
O4 - HKLM\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [VKSaver] C:\Documents and Settings\All Users\Application Data\VKSaver\VKSaver.exe
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Program Files\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RaidCall] C:\Program Files\RaidCall\raidcall.exe
O4 - HKCU\..\Run: [Aml Maple] C:\Program Files\AmlMaple\AmlMaple.exe
O4 - HKCU\..\Run: [SandboxieControl] "D:\Песочница\SbieCtrl.exe"
O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [Aml Maple] C:\Program Files\AmlMaple\AmlMaple.exe (User 'LOCAL SERVICE')
O4 - Global Startup: McAfee Security Scan Plus.lnk = C:\Program Files\McAfee Security Scan\3.0.207\SSScheduler.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll

Upean · 17.10.2012, 18:20

Итак. Все строки в HiJack пофиксил, скрипт в AVZ произвел. Обнаружено 12 угроз, обновления обязательно нужны для всех? Просто там 9 из 12 ссылок с microsoft.com, а Windows у меня пиратский. Скачиваться скачивается, а вот ставиться не хочет.

safety · 17.10.2012, 18:48

там только критические обновления, они не затронут вашу пиратку

11.10.2012, 21:38	#1
Upean Новичок Регистрация: 14.01.2012 Сообщений: 54 Репутация: 0	Dorkbot.B Здравствуйте! Возникла проблема - появился червь Dorkbot.B. Кто - то прислал спамом через скайп, а младший брат решил посмотреть. Итог - сидит в winlogon`е в оперативке, особых лагов не вызывает, но беспокоит. Логи - AVZ, uVS, RSIT - все оптом в одном архиве, вот тут: http://rghost.ru/40875276 Да, еще есть проблема - брат умудрился и телефон подключить к компу. Samsung GT S5230 STAR, на карте памяти образовался ярлык "Игры.lnk", папка RECYCLER с папкой (не открывается) и exe`- файлом (тоже не открывается). На всякий папку RECYCLER, Игры и Игры.lnk удалил, но вот думаю - не может ли он быть теперь источником заразы? К компу подключается только в виде съемного диска, и то на пару секунд. Что делать? Выручайте, Товарищи, братик вот уже второй час с кровати не встает - ревет да ревет.

11.10.2012, 21:53	#2
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %Sys32%\YQCTZGJ.DLL zoo %Sys32%\FTNXHTK.DLL zoo %Sys32%\ZABXAFN.DLL zoo %Sys32%\USDOLDM.DLL addsgn 98EC9F3F436A4CD10B94EEB1A3CDD742658AF4F689FAD87D4C8485BC58D6714C4BD284173EBD095F2B80EE9F2C1623FA82EAE83215DA582A2D77A47F2F633473 8 dork.1011 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\KXXTXD.EXE adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA delref %Sys32%\FTNXHTK.DLL bl 270795BFB23CD3E7BEEE7360460767B2 41472 chklst delvir deltmp delnfr czoo regt 5 restart перезагрузка, пишем о старых и новых проблемах. архив (например: ZOO_2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту sendvirus2011@gmail.com ---------- далее, выполните быстрое сканирование в Malwarebytes

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
помогите с win32/DorkBot.D	xxxbulat	Безопасность	5	05.10.2012 18:34
Dorkbot!	Scrol88	Безопасность	18	01.07.2012 12:22
Модифицированный Win32/Dorkbot	Tatoora	Безопасность	1	28.06.2012 19:40
Dorkbot	gaisiukmary	Безопасность	3	25.06.2012 21:44

16.10.2012, 01:30	#3
Upean Новичок Регистрация: 14.01.2012 Сообщений: 54 Репутация: 0	Скрипт выполнил, сканирование провел. Программа нашла и удалила 12 файлов. Проблемы - 1. Стали долго загружаться личные параметры пользователя при загрузке ОС 2. Не работает Opera, Chrome. Может, какие - то еще браузеры, не проверял. Изображение 1. http://hostingkartinok.com/show-imag...490e52c608884d Изображение 2. http://hostingkartinok.com/show-imag...80c7434c382374 Изображение 3. http://hostingkartinok.com/show-imag...f14c7dec231796 Сижу с Pale Moon`a. Вроде держится. Проверка локального диска ESET`oм ничего не дала, кроме того - он перестал обновляться. ---------- Добавлено в 00:30 ---------- Предыдущее сообщение было написано в 00:27 ---------- Да, на всякий - папка с Оперой весит 38.9 мб. И подтормаживает загрузка страниц в целом.

16.10.2012, 01:32	#4
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	Сделайте новый лог uVS

16.10.2012, 07:05	#5
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	Upean, реагируйте быстрее, система скорее всего не пролечена до конца. нужен новый образ автозапуска.

16.10.2012, 18:05	#6
Upean Новичок Регистрация: 14.01.2012 Сообщений: 54 Репутация: 0	http://rghost.ru/40970917

16.10.2012, 20:41	#8
Upean Новичок Регистрация: 14.01.2012 Сообщений: 54 Репутация: 0	Итак. Загрузка параметров по - прежнему длится долго, ~секунд 30, при обычных 10. Но, тьфу - тьфу - тьфу, браузеры заработали. Лог uVS нужен?

16.10.2012, 22:06	#9
Arkalik Специалист Регистрация: 22.04.2012 Сообщений: 5,218 Репутация: 458	Angel-iz-Ada, Забыл добавить вирус в архив?!

16.10.2012, 22:16	#10
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	Arkalik, нет. он там не нужен - файл давно всеми детектится Upean, сделайте лог Мбам и лог HiJack

17.10.2012, 17:16	#11
Upean Новичок Регистрация: 14.01.2012 Сообщений: 54 Репутация: 0	http://rghost.ru/40989302

17.10.2012, 18:20	#14
Upean Новичок Регистрация: 14.01.2012 Сообщений: 54 Репутация: 0	Итак. Все строки в HiJack пофиксил, скрипт в AVZ произвел. Обнаружено 12 угроз, обновления обязательно нужны для всех? Просто там 9 из 12 ссылок с microsoft.com, а Windows у меня пиратский. Скачиваться скачивается, а вот ставиться не хочет.

17.10.2012, 18:48	#15
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	там только критические обновления, они не затронут вашу пиратку

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)