В оперативной памяти - модифицированный Win32/Dorkbot.B червь очистка невозможна

логи прикрепил

Win XP sp2
Nod32 ss5

помогите его удалить

лог RSIT забыли

1.Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFileF('D:\Documents and Settings\Admin\Application Data\', '*.exe', false, '', 0, 0);
QuarantineFile('D:\Documents and Settings\Admin\Application Data\Microsoft\Nlymyz.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-106669\w68v12.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\nepro0xz.exe','');
QuarantineFile('D:\Documents and Settings\Admin\Application Data\12.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-106669\w68v12.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\nepro0xz.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\12.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\18.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\17.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\14.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\63.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\64.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\65.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\67.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\55.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\56.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\57.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\8E.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\8F.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\90.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\91.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\DF.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\E0.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\E1.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\E2.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\41D.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\41E.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\44C.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\41E.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\4CC.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\4CD.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\4CE.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\4CF.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\Microsoft\Nlymyz.exe');
DeleteFileMask('D:\Documents and Settings\Admin\Application Data\', '*.exe', false);
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wi68');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','t4q');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nepro0xz');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSSMARTMON1');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Nlymyz');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
ExecuteRepair(8);
ExecuteRepair(13);
RebootWindows(true);
end.




После выполнения скрипта компьютер перезагрузится!

2.После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы. В теле письма укажите свой ник на форуме и ссылку на тему


3.Сделайте повторные логи AVZ + RSIT + HijackThis

4.Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)


5.Обновляем систему до SP3. Service Pack 3 (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4) (может потребоваться активация) + устанавливаем ВСЕ обновления

______________________________________

отчёт готов

DDownTango6bToolbar сами установили себе?

логи АВЗ старые залили. Прикрепите свежие, пожалуйста

В реестре нашёл только Down Tango и Down Tango Launcher 2.1

логи АВЗ старые залили. Прикрепите свежие, пожалуйста »

чёт я не совсем понимаю что за АВ3?

лог virusinfo_syscure.zip вы залили старый, вы же сделали после скрипта проверку? мне нужен новый лог после скрипта

Новый оно почему-то не хочет выдавать. я даже старые удалил и заново всё сделал, а в папке пусто.

удалите старую папку с AVZ с рабочего стола. скачайте заново-обновите базы

Запустите AVZ, выберите в меню "Файл"=>"Стандартные скрипты" и поставьте галочку напротив скрипта №3. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.

готово

Рекомендую удалить Спутник@Mail.Ru, Ask Toolbar, DDownTango6bToolbar, если не используете
Панель удаляется через Пуск-Панель управления-Удаление программ

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('D:\WINDOWS\system32\drivers\etc\hоsts','');
DeleteFile('D:\WINDOWS\system32\drivers\etc\hоsts');
QuarantineFile('D:\Documents and Settings\Admin\ddn.exe','');
DeleteFile('D:\Documents and Settings\Admin\ddn.exe');
if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.




После выполнения скрипта компьютер перезагрузится!

Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.certified-toolbar.com?si=41460&home=true&tid=3231
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.certified-toolbar.com?si=41460&home=true&tid=3231
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=3231&bs=true&q=


проверяемся на уязвимости

Загрузите SecurityCheck by glax24 отсюда (http://safezone.cc/forum/krfilesmanager.php?do=file&dlfileid=36) и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение.Подробнее читайте в этом руководстве (http://safezone.cc/forum/showthread.php?t=19945).

Пофиксить в HijackThis не получилось т.к. там нет таких пунктов.

Service Pack 2 Внимание! Скачать обновления (http://download.microsoft.com/download/c/f/6/cf65d224-3ce2-4aaf-8e74-caa4987477c8/WindowsXP-KB936929-SP3-x86-RUS.exe)
^Возможно потребуется повторная активация Windows^
Internet Explorer 6.0.2900.2180 Внимание! Скачать обновления (http://windows.microsoft.com/ru-RU/internet-explorer/downloads/ie-8)
-------------Windows------------------------------

обновитесь, ибо опасно выходить в интернет с такой уязвимой системой!

Adobe Flash Player 10 ActiveX v.10.1.53.64 Внимание! Скачать обновления (http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_11_active_x.exe)
Adobe Flash Player 11 Plugin v.11.5.502.135
Adobe Shockwave Player 11.6 v.11.6.5.635 Внимание! Скачать обновления (http://get.adobe.com/shockwave/)
-------------Browser------------------------------
Opera 11.50 v.11.50.1074 Внимание! Скачать обновления (http://www.opera.com/browser/)
Google Chrome v.16.0.912.21 Внимание! Скачать обновления (https://www.google.com/intl/ru/chrome/browser/)
-------------RunningProcess-----------------------


что с проблемой, полегчало?

Пароли смените!

спасибо огромное за помощь. комп стал работать быстрее. проверил док.вебом вирусов в оперативной памяти не обнаружил. сейчас всю сис-му проверю в безопасном режиме.

joey85, чУдно, только про обновы я не зря настаиваю-сетевой червяк это большая грусть
без обнов вернется ни сегодня-завтра

по логам у вас чисто..
Было Worm.Win32.Palevo, отправляет на адрес злоумышленника сохраненные пароли из браузеров Firefox, Internet Explorer, Opera-меняйте

Выполните рекомендации после лечения (http://forum.oszone.net/post-1838507-9.html)