Писал, распислывал пока комп не завис. Вообщем заразился я этим вирусом с флешки. Флешка была друга, поэтому особо не заморачивался.
Сканировал cureit, нашел еще Neshta. Не знаю вылечил или нет, но dorkbot остался. Логи прикрепил

Дополню: В процессах висит mspaint, заблокирован cmd? в некоторых файлах расположение файла выглядит так:

%SystemRoot%\system32\cmd.exe /c "%SystemRoot%\explorer.exe %cd%.Trashes & start %cd%KlGEEybKdatOuxW.exe & exit"

Большую часть файлов не открывает

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):


begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\aio\AppData\Roaming\Microsoft\Btuaub.exe','');
QuarantineFile('C:\Users\aio\AppData\Roaming\Microsoft\Wtuauw.exe','');
QuarantineFile('C:\Users\aio\AppData\Roaming\ScreenSaverPro.scr','');
DeleteFile('C:\Users\aio\AppData\Roaming\Microsoft\Btuaub.exe');
DeleteFile('C:\Users\aio\AppData\Roaming\Microsoft\Wtuauw.exe');
DeleteFile('C:\Users\aio\AppData\Roaming\ScreenSaverPro.scr');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Btuaub');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Wtuauw');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:


Файл quarantine.zip из папки AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
-----------------------------------------------------------------------
Скачайте Universal Virus Sniffer (http://dsrt.dyndns.org/uvsfiles.htm) (uVS)
Извлеките uVS из архива или из zip-папки.
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577). Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
;uVS v3.73 script [http://dsrt.dyndns.org]

adddir %SystemDrive%\USERS\aio\APPDATA\ROAMING
crimg
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат"имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробнее читайте в руководстве Как подготовить лог UVS (http://safezone.cc/forum/showpost.php?p=79351&postcount=1)

Файл quarantine.zip отправил, лог uVS прикрепил

upd// прошу обновить, ибо залил не тот лог uVS

werdexx, похоже вы не дождались окончания создания образа (он повреждён). Пожалуйста дождитесь окончания работы утилиты, при этом если в системе установлен архиватор, то по окончанию образ будут автоматически упакован в архив.

werdexx, похоже вы не дождались окончания создания образа (он повреждён). Пожалуйста дождитесь окончания работы утилиты, при этом если в системе установлен архиватор, то по окончанию образ будут автоматически упакован в архив. »

Тогда, возможно вам нужен вот этот файл, я надеюсь.

Вы заражены файловым вирусом, пожалуйста пролечитесь как указано в этой теме Как вылечить систему от файлового вируса? (http://forum.oszone.net/post-1867330-10.html) а после этого сделайте и прикрепите новые логи.

ooh.. Не получается запустить live cd usb .. Сначала возникала ошибка
Preparing the LiveCD environment... Press Alt+F1 for verbose mode

Сейчас же, вообще не находит флешку, пишет:
reboot and select proper boot device бла бла бла..
Не знаю что и делать

Попробую Kaspersky Rescue Disk 10, может что и выйдет.

Все оказалось куда проще, я тупанул что-то ><
Вообщем, как говорит dr.web Neshta он вылечил. Прикрепляю новые логи:

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577). Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
;uVS v3.80.2 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

; C:\USERS\AIO\APPDATA\ROAMING\TEMP.BIN
addsgn A7679B1991A64F4FD7B4EFB165F5CAC1648AFFCB5D395E78ACFE31D811D6F819C79CDE8FFA149D7236DC41DE46635BF97867 B23355FBB5F4CA36A4C4F1724E93 8 Backdoor.Win32.Androm.wvn [Kaspersky]

zoo %SystemDrive%\USERS\AIO\APPDATA\ROAMING\TEMP.BIN
bl 09E8C84AEA5894693D0E15D5A9D974A6 114176
; zoo %SystemDrive%\USERS\AIO\APPDATA\ROAMING\TEMP.BIN
delall %SystemDrive%\USERS\AIO\APPDATA\ROAMING\MICROSOFT\WTUAUW.EXE
chklst
delvir
restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
Если архив отсутствует, то заархивруйте папку ZOO (http://safezone.cc/forum/showthread.php?t=19310) с паролем virus. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Подробнее читайте в этом руководстве (http://safezone.cc/forum/showpost.php?p=79352&postcount=1).


сделайте новый образ автозапуска uVS .

+ лог log.txt от RSIT тоже свежий сделайте.

После выполнения скрипта архива в папке не оказалось, но оказалась папка ZOO. Отправил письмо как сказано в инструкции.

log.txt
uVS прикрепил

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):


begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Btuaub');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\minecraft-in');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Screen Saver Pro 3.1');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Wtuauw');
BC_Activate;
RebootWindows(true);
end.


после выполнения скрипта компьютер перезагрузится.

Сделайте новый лог log.txt.
---------------------------------------------------------------------

+ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: Запустите AVZ. Выполните обновление баз (Меню Файл - Обновление баз) Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины) В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip Закачайте полученный архив, как описано на этой странице (http://www.z-oleg.com/secur/avz/upload_qr.php). Если размер архива превышает 20 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost (http://rghost.ru/), Zalil (http://zalil.ru/), Dump.Ru (http://dump.ru/) или WebFile (http://webfile.ru/)) и укажите ссылку на скачивание в своём следующем сообщении.

---------------------------------------------------------
что с проблемой ?

Архив залил
Файл успешно загружен закачан и поставлен в очередь на обработку, спасибо!

log.txt прикрепил.

Ну по крайней мере фаерволл больше не выдает сообщение о вирусе win32.dorkbot ;)

больше никаке логи делать не надо?
Если нет, можете пометить тему как "решено"

Последний скрипт когда выполняли AVZ запустили правой кнопкой от имени админа ?

Вижу у вас установлен CCleaner запустите его, нажмите:

Сервис -> Автозагрузка -> Windows -> удалите там следующие ключи автозапуска

Нет HKLM:Run Btuaub - запускает файл C:\Users\aio\AppData\Roaming\Microsoft\Btuaub.exe
Нет HKLM:Run minecraft-in - запускает файл C:\Users\aio\AppData\Roaming\minecrafting.url
Нет HKLM:Run Screen Saver Pro - запускает файл C:\Users\aio\AppData\Roaming\ScreenSaverPro.scr
Нет HKLM:Run Wtuauw - запускает файл C:\Users\aio\AppData\Roaming\Microsoft\Wtuauw.exe

Будьте внимательно и не удалите случайно, что-нибудь другое.

после этого сделайте свежий лог log.txt

+ Загрузите SecurityCheck by glax24 отсюда (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe) и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение.Подробнее читайте в этом разделе (http://safezone.cc/forum/showthread.php?t=19622) форума поддержки утилиты.

Насколько я помню, все скрипты выполнял от имени админа.
Логи прикрепил, Автозапуск почистил.

таки это все? Можно закрывать?

простите, не заметил вашу тему.

Выполните рекомендации после лечения (http://safezone.cc/forum/showthread.php?t=16715)

и на этом всё.
Удачи :).