Помогите с вирем zaberg, addrive32 и win32/dorkbot.a

petropnz · 10.11.2011, 01:16

Бьюсь уже 5 час...ну не удаляются и все...

вроде вычищаю...а все равно да вылете где нибудь.

Заражен нетбук...

что надо от меня будет-говорить.я только буду рад посодействовать в помощи для меня.
Заранее спасибо
Логи
http://zalil.ru/32027422

нод ловит

win32/dorkbot.a определяет в svchost.exe(1044) модифицированный Win32/Dorkbot.A червь очистка невозможна

petropnz · 10.11.2011, 08:09

эээм...короче вроде загасил CureIt-ом в скопе с Anti-Malware

---------- Добавлено в 06:09 ---------- Предыдущее сообщение было написано в 06:02 ----------

рано радавался...снова появился(((

чо делать то?!))

виктор_лютый · 10.11.2011, 08:36

Цитата:

Сообщение от petropnz

чо делать то?

ждать пока безопасники* не подтянуться, а так я к примеру вирус пристовучий как то выкавыривавал: в безопасном режиме cure it + avz + комбофикс

safety · 10.11.2011, 08:55

сделайте образ автозапуска системы в uVS

обновите утилиту uVS до версии 3.71

или отсюда, для тех кто дружит с Avast (или GData)

Распаковать архив, запустить файл Start.exe
Появится окно программы - нажать "запустить под текущим пользователем".
Далее - Меню Файл - Сохранить Полный образ автозапуска.
Сохраненный файл копируем на файловый обмен (желательно чтобы был в архиве)
и ссылку добавляем на форум.

petropnz · 10.11.2011, 12:21

http://zalil.ru/32028765
там и лог вэба

через поиск вбейте "Удален" и там увидите чо он удалил.

safety · 10.11.2011, 13:22

закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

Код:

;uVS v3.72 BETA 2 script [http://dsrt.dyndns.org]

zoo %SystemRoot%\ALT+Q HOTKEY.EXE
addsgn A7679BF0AA0294224BD4C66D42881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C7FD0C49F75C4C32EF4CA1C1615DA3BE4AC965B2FC706AB7E 8 tr.Bflient

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПЕТРО\APPLICATION DATA\14.TMP
addsgn A7679B19B9421AB54E28AEB164C8D540C98BFCF68979627484B7E87B153A714C23170412CA979D492B47C167551649FAF69A1071102E3969D91DA4D0D24E9233 8 zaberg

zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
addsgn A7679BF0AA025C104BD4C69158881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625CABE0C49F75C4C32EF4CA500A15DA3BE4AC965B2FC706AB7E 8 Tr

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПЕТРО\APPLICATION DATA\RMNONF.EXE
addsgn A7679BF0AA02E4324BD4C6497A881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C0FC0C49F75C4C32EF4CA602715DA3BE4AC965B2FC706AB7E 8 zaberg

bl 1BD3A909E59398DF85AEEF7B33B53C84 140168
bl 3BB8D56CDECEA7BB137C9CAB8F10942E 27648
bl B9DCA9E3C47E4C51A408BCD1EC840D26 118784
bl A9CD2BA73ED5B431BA8AAD56E8D89844 45056
chklst
delvir
deltmp
delnfr
regt 5
regt 18
czoo
restart

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту sendvirus2011@gmail.com
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

---------- Добавлено в 15:22 ---------- Предыдущее сообщение было написано в 15:21 ----------

+
скачайте программу malwarebytes (free version)
http://www.malwarebytes.org/mbam.php

установить (только сканер!(при установке отказываемся от пробного периода)),
обновить базы, выполнить быстрое сканирование,
после завершения сканирования,
текстовый лог (сохранить как файл) добавить в ваше сообщение на форум.

petropnz · 10.11.2011, 14:03

в c:\WINDOWS\system32\ появляются файлы

54.exe,07.exe,28.exe

и выпадает такая мессага

и прочие подобные. На мыло отчет отправил.Прогу качаю.

на сайт касперыча не пускал,теперь пускает

---------- Добавлено в 12:03 ---------- Предыдущее сообщение было написано в 11:48 ----------

Цитата:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Версия базы данных: 7622

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

10.11.2011 15:01:58
mbam-log-2011-11-10 (15-01-51).txt

Тип сканирования: Быстрое сканирование
Просканированные объекты: 165271
Времени прошло: 2 минут, 47 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 1
Объекты реестра заражены: 1
Зараженные папки: 1
Зараженные файлы: 2

Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)

Зараженные модули в памяти:
(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:
(Вредоносных программ не обнаружено)

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.AutoRun.Gen) -> Bad: (c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe) Good: () -> No action taken.

Зараженные папки:
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.

Зараженные файлы:
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe (Worm.AutoRun.Gen) -> No action taken.

лог проги

safety · 10.11.2011, 14:17

удалите все в МБАМ,
перезагрузка,
новый образ автозапуска в uVS и новый лог МБАМ

petropnz · 10.11.2011, 14:20

Цитата:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Версия базы данных: 7622

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

10.11.2011 15:18:46
mbam-log-2011-11-10 (15-18-46).txt

Тип сканирования: Быстрое сканирование
Просканированные объекты: 164908
Времени прошло: 3 минут, 20 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 0
Объекты реестра заражены: 0
Зараженные папки: 0
Зараженные файлы: 0

Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)

Зараженные модули в памяти:
(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:
(Вредоносных программ не обнаружено)

Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
(Вредоносных программ не обнаружено)

Зараженные папки:
(Вредоносных программ не обнаружено)

Зараженные файлы:
(Вредоносных программ не обнаружено)

Лог проги

safety · 10.11.2011, 14:21

новый образ автозапуска в uVS

petropnz · 10.11.2011, 14:27

http://zalil.ru/32029385 с пылу с жару

safety · 10.11.2011, 14:43

закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

Код:

;uVS v3.72 BETA 2 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ECLEANER.EXE
addsgn A7679BF0AA02E4324BD4C6497A881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C0FC0C49F75C4C32EF4CA602715DA3BE4AC965B2FC706AB7E 8 zaberg

bl C8A9D1224C1153D6879F1F8CFA6D16BF 40960
delall %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ECLEANER.EXE
chklst
delvir
regt 5
regt 18
restart

перезагрузка,
новый образ автозапуска в uVS

---------- Добавлено в 16:43 ---------- Предыдущее сообщение было написано в 16:34 ----------

так же
-------------------------
Установите Internet Explorer 8
даже если вы не используете его в качестве браузера
скачать отсюда
http://www.microsoft.com/rus/windows...r/default.aspx

если используете браузер Firefox
установите текущую версию
http://www.mozilla-europe.org/ru/firefox/

установите для Firefox дополнение NoScript для блокирования javascript,
https://addons.mozilla.org/ru/firefox/addon/722/
разрешайте использование javascript на доверенных сайтах,
или временно разрешить на данной странице.

установите дополнение AddBlock Plus
https://addons.mozilla.org/ru/firefox/addon/1865/

если установлено данное ПО:Java, Adobe Flash player, Acrobat REader,
обязательно обновите до текущих версий:

Java
http://www.java.com/ru/download/manual.jsp

Adobe Flash Player
http://get.adobe.com/ru/flashplayer/

Adobe Acrobat Reader
http://get.adobe.com/reader/

petropnz · 10.11.2011, 14:45

http://zalil.ru/32029512

очередная

safety · 10.11.2011, 14:51

в памяти - чисто.

закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

Код:

;uVS v3.72 BETA 2 script [http://dsrt.dyndns.org]

delall %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ECLEANER.EXE
deltmp
delnfr

без перезагрузки
пишем о старых и новых проблемах.
можно еще лог новый мбам сделать.

petropnz · 10.11.2011, 14:53

'вот это валит

10.11.2011, 01:16	#1 (ссылка)
petropnz Новичок Регистрация: 10.11.2011 Сообщений: 14 Репутация: 0	Помогите с вирем zaberg, addrive32 и win32/dorkbot.a Бьюсь уже 5 час...ну не удаляются и все... вроде вычищаю...а все равно да вылете где нибудь. Заражен нетбук... что надо от меня будет-говорить.я только буду рад посодействовать в помощи для меня. Заранее спасибо Логи http://zalil.ru/32027422 нод ловит win32/dorkbot.a определяет в svchost.exe(1044) модифицированный Win32/Dorkbot.A червь очистка невозможна

10.11.2011, 13:22	#6 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	закрыть браузеры перед выполнением скрипта выполнить скрипт в uVS меню - скрипты - выполнить скрипт из буфера обмена Код: ;uVS v3.72 BETA 2 script [http://dsrt.dyndns.org] zoo %SystemRoot%\ALT+Q HOTKEY.EXE addsgn A7679BF0AA0294224BD4C66D42881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C7FD0C49F75C4C32EF4CA1C1615DA3BE4AC965B2FC706AB7E 8 tr.Bflient zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПЕТРО\APPLICATION DATA\14.TMP addsgn A7679B19B9421AB54E28AEB164C8D540C98BFCF68979627484B7E87B153A714C23170412CA979D492B47C167551649FAF69A1071102E3969D91DA4D0D24E9233 8 zaberg zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE addsgn A7679BF0AA025C104BD4C69158881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625CABE0C49F75C4C32EF4CA500A15DA3BE4AC965B2FC706AB7E 8 Tr zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПЕТРО\APPLICATION DATA\RMNONF.EXE addsgn A7679BF0AA02E4324BD4C6497A881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C0FC0C49F75C4C32EF4CA602715DA3BE4AC965B2FC706AB7E 8 zaberg bl 1BD3A909E59398DF85AEEF7B33B53C84 140168 bl 3BB8D56CDECEA7BB137C9CAB8F10942E 27648 bl B9DCA9E3C47E4C51A408BCD1EC840D26 118784 bl A9CD2BA73ED5B431BA8AAD56E8D89844 45056 chklst delvir deltmp delnfr regt 5 regt 18 czoo restart перезагрузка, пишем о старых и новых проблемах. архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z) отправить в почту sendvirus2011@gmail.com если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected ---------- Добавлено в 15:22 ---------- Предыдущее сообщение было написано в 15:21 ---------- + скачайте программу malwarebytes (free version) http://www.malwarebytes.org/mbam.php установить (только сканер!(при установке отказываемся от пробного периода)), обновить базы, выполнить быстрое сканирование, после завершения сканирования, текстовый лог (сохранить как файл) добавить в ваше сообщение на форум.

10.11.2011, 14:43	#12 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	закрыть браузеры перед выполнением скрипта выполнить скрипт в uVS меню - скрипты - выполнить скрипт из буфера обмена Код: ;uVS v3.72 BETA 2 script [http://dsrt.dyndns.org] zoo %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ECLEANER.EXE addsgn A7679BF0AA02E4324BD4C6497A881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C0FC0C49F75C4C32EF4CA602715DA3BE4AC965B2FC706AB7E 8 zaberg bl C8A9D1224C1153D6879F1F8CFA6D16BF 40960 delall %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ECLEANER.EXE chklst delvir regt 5 regt 18 restart перезагрузка, новый образ автозапуска в uVS ---------- Добавлено в 16:43 ---------- Предыдущее сообщение было написано в 16:34 ---------- так же ------------------------- Установите Internet Explorer 8 даже если вы не используете его в качестве браузера скачать отсюда http://www.microsoft.com/rus/windows...r/default.aspx если используете браузер Firefox установите текущую версию http://www.mozilla-europe.org/ru/firefox/ установите для Firefox дополнение NoScript для блокирования javascript, https://addons.mozilla.org/ru/firefox/addon/722/ разрешайте использование javascript на доверенных сайтах, или временно разрешить на данной странице. установите дополнение AddBlock Plus https://addons.mozilla.org/ru/firefox/addon/1865/ если установлено данное ПО:Java, Adobe Flash player, Acrobat REader, обязательно обновите до текущих версий: Java http://www.java.com/ru/download/manual.jsp Adobe Flash Player http://get.adobe.com/ru/flashplayer/ Adobe Acrobat Reader http://get.adobe.com/reader/

10.11.2011, 14:51	#14 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	в памяти - чисто. закрыть браузеры перед выполнением скрипта выполнить скрипт в uVS меню - скрипты - выполнить скрипт из буфера обмена Код: ;uVS v3.72 BETA 2 script [http://dsrt.dyndns.org] delall %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ECLEANER.EXE deltmp delnfr без перезагрузки пишем о старых и новых проблемах. можно еще лог новый мбам сделать.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Вирусы zaberg, addrive32 и др. Помогите избавиться!	ZuzuZay	Безопасность	21	22.09.2011 12:51
Zaberg.exe и компания. Требуется помощь	AndrewS	Безопасность	14	21.09.2011 12:16
Помогите! Trojan.win32.Ddox.ci, Trojan.Win32.ExpireT	geronimo	Безопасность	3	01.07.2011 22:35
Win32.Ddox.ci помогите	Soltik	Безопасность	4	20.06.2011 18:35
Win32.Sector22 Помогите плз !!!!1	Rojer	Безопасность	3	07.12.2010 09:19

10.11.2011, 08:09	#2 (ссылка)
petropnz Новичок Регистрация: 10.11.2011 Сообщений: 14 Репутация: 0	эээм...короче вроде загасил CureIt-ом в скопе с Anti-Malware ---------- Добавлено в 06:09 ---------- Предыдущее сообщение было написано в 06:02 ---------- рано радавался...снова появился((( чо делать то?!))

10.11.2011, 08:55	#4 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	сделайте образ автозапуска системы в uVS обновите утилиту uVS до версии 3.71 или отсюда, для тех кто дружит с Avast (или GData) Распаковать архив, запустить файл Start.exe Появится окно программы - нажать "запустить под текущим пользователем". Далее - Меню Файл - Сохранить Полный образ автозапуска. Сохраненный файл копируем на файловый обмен (желательно чтобы был в архиве) и ссылку добавляем на форум.

10.11.2011, 12:21	#5 (ссылка)
petropnz Новичок Регистрация: 10.11.2011 Сообщений: 14 Репутация: 0	http://zalil.ru/32028765 там и лог вэба через поиск вбейте "Удален" и там увидите чо он удалил.

10.11.2011, 14:17	#8 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	удалите все в МБАМ, перезагрузка, новый образ автозапуска в uVS и новый лог МБАМ

10.11.2011, 14:21	#10 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	новый образ автозапуска в uVS

10.11.2011, 14:27	#11 (ссылка)
petropnz Новичок Регистрация: 10.11.2011 Сообщений: 14 Репутация: 0	http://zalil.ru/32029385 с пылу с жару

10.11.2011, 14:45	#13 (ссылка)
petropnz Новичок Регистрация: 10.11.2011 Сообщений: 14 Репутация: 0	http://zalil.ru/32029512 очередная

10.11.2011, 14:53	#15 (ссылка)
petropnz Новичок Регистрация: 10.11.2011 Сообщений: 14 Репутация: 0	'вот это валит

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads