Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Скрытие папок на flash карте вирусом Win32/Dorkbot.A (http://forum.oszone.net/showthread.php?t=217812)

king1990 12-10-2011 21:20 1772049
Скрытие папок на flash карте вирусом Win32/Dorkbot.A
 
Вложений: 1
Доброго времени суток! И так как пытался решить проблему. На флэшке из папки RECYCLER удалил сам исполняемый файл, который папки превращает в ярлыки в свойствах ярлыка в поле объект прописывает:
Код:
%windir%\system32\cmd.exe /c "start %cd%RECYCLER\e5188982.exe &&%windir%\explorer.exe %cd%новая папка
Просканировал флэшку AVZ и Dr.web CureIt, начал сканировать систему но не хватило терпения и рещил разбираться дальше, через TC в атрибутах убрал все галочки скрытый системный и т.д. после чего папочки стали видимыми всё хорошо, всё отлично, но после того как флэшку вынуть вставить, все папки по одной начинют скрываться на глазах, (НО ОТКУДА ОН ВЗЯЛ ОПЯТЬ ЭТОТ EXE??? Перед этим установил "Анти-ауторан") Антивирусник ESS 4 конечно на все это сразу начинает ругаться и удалять все ярлычки и ещё не понял почему он нашёл этот вируса, к сожалению при подключении флэшки выдаёт сразу: модифицированный Win32/Dorkbot.A червь очистка невозможна (путь вируса: оперативная память O_o)

После долгих мучений, вирус начал себя проявлять немного по другому, все папки которые были ярлычками, теперь просто скрытые, стандартными средствами винды атрибут скрытый не доступен, правил реестр не помогло и к этому не работают в опере сайты HiJackThis касперский microsoft, хотя в ie вроде нормально кроме сайта http://free.antivirus.com/hijackthis/.

zirreX 13-10-2011 00:26 1772143
Здравствуйте!

Остальные логи?

Подключите флешку и не вынимая её подготовьте следующие логи.

Сделайте логи AVZ\RSIT.

• Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

king1990 13-10-2011 01:19 1772168
Лог MBAM сделаю чуть позже, не могу скачать ни одним браузер ни DM

thyrex 13-10-2011 02:07 1772186
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Cpzozq.exe','');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Cpzozq.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Cpzozq');BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи

king1990 13-10-2011 07:38 1772231
Вложений: 1
Log MBAM

thyrex 13-10-2011 19:48 1772683
Запустите полную проверку МВАМ
После сканирования выберите Ок и далее Show Results (Показать результаты), отметьте только указаные ниже пункты, нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и прикрепите его к сообщению.

Зараженные параметры в реестре:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\kr_done1 (Malware.Trace) -> Value: kr_done1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit (Hijack.Regedit) -> Value: DisableRegedit -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Зараженные файлы:
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\kr_done1 (Malware.Trace) -> No action taken.

king1990 14-10-2011 12:47 1773125
Вложений: 1
thyrex, запустил на ночь сканирование MBAMом и пошёл спать, с утричка хотел выложить логи, встал с утра и увидел что комп перезагрузился, вошёл в систему, выплала всплывающая подсказка что windows (xp) был обновлен :-D Первое что пришло в голову вставить флэшку, но о ЧУДО nod не показал никакого вируса как было до этого, все папки были не скрытыми и атрибут скрытый был доступен) Вот так обновление, но я cегодня вечерком ещё попробую просканировать mbamom, удалю параметры реестра которые написал выше и выложу. Большое спасибо за помощь!


Время: 18:03.

Время: 18:03.
© OSzone.net 2001-