Как удалить троянскую программу. Правоохранительные органы демонтировали ботнет Dorkbot

Для Андроид 04.04.2019
Для Андроид

История одного излечения на примере зловреда AntiVir: Worm/Dorkbot.A.24, DrWeb: BackDoor.Butter.23, Kaspersky: Backdoor.Win32.Ruskill.dj, NOD32: Win32/Dorkbot.B.

Симптомы у этого зловреда были такие: не обновляется антивирус, компьютер работает очень плохо: «ужасно тормозит и виснет», периодически перестаёт откликаться и выключается с «синим экраном смерти», многие сайты в интернете не открываются, результаты веб-поиска изменены, на рабочем столе появляются новые ярлыки, при нажатии на которые, пользователь попадает на другие зараженные веб-сайты. Кроме того троян ворует конфиденциальную информацию: список посещённых веб-страниц, логины-пароли к сайтам, кредитным картам и т.д.

Симптом №1, по которому можно определить наличие зловреда в системе: вставить флешку и посмотреть в файловом менеджереданном случае Total Commander) не появилось ли на флешке каких-либо новых файлов, папок, ярлыков, скрытых файлов и папок. Если да — то в системе зловредная программа 100% присутствует . В данном случае имеем такую картину:

Настоящие папки с файлами в данный момент скрыты (1) , то есть когда бы мы открыли флешку через Проводник Windows (Мой компьютер — Съёмный диск), то этих папок мы бы не увидели. Но на их месте появились ярлыки (2) , которые имеют те же названия как и настоящие папки и выглядят как настоящие папки, так что визуально обычный пользователь может и не заметить подвоха. Появляется также скрытая папка «RECYCLER» (3) , в которой находится файл «11afb2c9.exe». Заражение компьютера происходит следующим образом: ничего не подозревающий пользователь открывает флешку и нажимает на ярлык, думая что он открывает папку. При этом запускается файл 11afb2c9.exe из папки «RECYCLER» (как Вы догадались, это вирус) и одновременно открывается нужная пользователю скрытая папка, так что момент заражения компьютера происходит совсем незаметно.

Первое , что нужно сделать — обновить антивирусную программу и антивирусные базы до актуальной версии и проконтролировать все ли модули антивируса работают. На зараженном компьютере стоял Avast, но его обновление нам, к сожалению, ничего не дало, антивирус молчит как партизан, ведёт себя так, как будто никакого заражения на компьютере нет.

Антивирус NOD32 может бороться только с последствиями вируса: он удаляет с флешки ярлыки, созданные вирусом, удаляет вирусные файлы (например f5399233.exe, 11afb2c9.exe) из папки «RECYCLER». Самой же причины заражения он не видит и при вставке очередной флешки в зараженный компьютер мы видим одну и ту же картину, как антивирус создаёт бурную деятельность по обеззараживанию очередной флешки.

NOD32 Antivirus не способен побороть причину заражения компьютера

Второе что мы делаем — запускаем антитроянскую программу Malwarebytes Anti-Malware (запустить — обновить — быстрое сканирование. Обзор других антишпионских программ ). Одновременно загружаем файл «11afb2c9.exe» на сайт virustotal.com для проверки:

Как видно из результатов проверки наш Avast — единственный из нормальных антивирусов, который нашего трояна не знает. В этом и есть причина его «партизанского молчания» по этому поводу. (К слову сказать такая ситуация случается со всеми антивирусами, идеальных не бывает, пропускают иногда все… ) Зато вот результаты проверки программой Malwarebytes Anti-Malware порадовали:

Первые две записи — кажется и есть наш зловред. Удаляем всех и перезагружаемся.

После перезагрузки скачиваем с сайта DrWeb-a бесплатную лечащую утилиту Dr.Web CureIt!® (по результатам проверки на virustotal-е мы уже знаем, что DrWeb эту заразу знает и, следовательно, может обезвредить), сканируем компьютер. Утилита ничего больше не нашла, это значит что Avast и Malwarebytes Anti-Malware со своей задачей справились: компьютер чист.

Позаботимся о том, чтобы Avast внёс этого трояна в свою антивирусную базу и он начал определяться у всех его пользователей. Для этого нужно файл «11afb2c9.exe» поместить в карантин антивируса и от туда отправить его для анализа:

Отправляем файл для анализа в компанию Avast

Теперь нужно навести порядок на флешке . Удаляем ярлыки, папку «RECYCLER» и снимаем атрибуты со скрытых папок. В Total Commander-е это сделать опять-таки удобнее:

Групповое изменение атрибутов файлов в программе Total Commander

Выделяем все наши скрытые папки и запускаем команду изменения атрибутов. В проводнике Windows это пришлось бы делать для каждой папки отдельно.

Заключительная проверка. Для этого делаем «контрольное вставляние флешки» и убеждаемся что ничего крамольного с ней больше не происходит. Визуальное улучшение состояния работы компьютера тоже на лицо: он не виснет, все файлы, папки, программы открываются нормально, интернет работает, все сайты открываются.

К слову сказать, данная методика подходит для удаления не только этого трояна, но и многих других. Надеюсь, это Вам однажды поможет!

Заразиться вирусом всегда неприятно, неважно, заразился ли ты сам от друга или речь идет твой компьютер. Иногда компьютерные вирусы даже неприятнее, чем обычные, например, когда из-за навязчивого окна на весь экран намертво встает работа или все флешки виснут, зараженные очередным червяком.

Что такое dorkbot.as?

Этот вирус – червяк, каковых целое семейство. Все они «расползаются» через устройства переноса данных, соцсети и программы обмена сообщениями. Он может участвовать в DoS-атаках. Хотя основная неприятность, связанная с ним – блокировка сайтов обновлений, скачиваемых системой, для чего он запоминает пароли и логины пользователей.

Даже чаще, чем с внешних носителей, эта «зараза» просачивается через ссылки на себя в сообщениях программ-пейджеров (Skype, ICQ) или соцсетей, посылаемые по всем контактам адресной книги зараженного компьютера. Сам файл сохраняется в директории %APPDATA% (C:\Users\\AppData\Roaming), причем имя у него генерируется случайным образом из серийного номера винчестера и помещается в автозагрузку (ветка реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run).

После этого он может копировать себя на все подключаемые внешние диски, включая карты памяти смартфонов, прячась в папку RECYCLER и используя autorun.inf для автозапуска при каждом подключении к компьютеру.

Самое коварное в его размножении, что вирус может перехватывать сообщения тайно от пользователя и дописывать к ним ссылку на себя.

Он умело прячется от пользователя, используя собственный руткит. Самый распространённый вариант – его внедрение в explorer.exe, хотя некоторые пострадавшие встречали его даже в mspaint.exe

Самая же большая подлость, ожидающая незадачливого пользователя, попытавшегося его «вылечить» — встроенная проверка целостности, благодаря которой dorkbot.as защищается от удаления, заваливая мусором и пытаясь повредить диск.

Борьба с Dorkbot.as: классический метод

Самый простой способ попробовать победить эту напасть – воспользоваться классическими антивирусными утилитами. Лидеры направления – всем известные AVZ и AVPTool от Касперского. Правда, есть несчастные, которым эти программы не помогали.

Еще одна программа, которую можно использовать – «Dr.Web CureIt!», детище брэнда «Доктор Веб». Программа, как и две предыдущие, бесплатная, так что доступна всем.

Все три продукта доступны и понятны даже абсолютно несведущим в компьютерных премудростях пользователям. Вот только не всегда справляются с dorkbot.as, в частности, потому что не удаляют и не лечат активные вирусы, а он же в автозагрузке, т.е. постоянно запущен. Поэтому многим приходится просить помощи у знакомых (или не знакомых) профессионалов.

Удаление с помощью специальных утилит

Для самых опасных или широко распространившихся вирусов выпускаются специальные утилиты удаления. Есть такие и для семейства Dorkbot.

В интернете можно найти импортную программу SpyHunter 4, разработанную компанией из США Enigma Software Group. Она поможет удалить dorkbot.as без проблем из операционной системы Windows.
Приверженцам отечественного программирования подойдет Win32/Dorkbot от Security Stronghold.

Врачи говорят, что если вирус лечить. Он пройдет за 7 дней, если не лечить – за неделю. К сожалению, с компьютерными вирусами дело обстоит иначе, и каждый день отсрочки лечения может оказаться в прямом смысле последним для электронного друга. Поэтому, если dorkbot.as появился на компьютере или был замечен на флешках, лечение стоит начать немедленно.

Наверное каждый хоть раз сталкивался с чудной флешкой, где вместо папок ярлыки . Есть простой способ избавиться от этой троянской программы.

Вирус известен как

  • AntiVir: Worm/Dorkbot.A.24,
  • DrWeb: BackDoor.Butter.23,
  • Kaspersky: Backdoor.Win32.Ruskill.dj,
  • NOD32: Win32/Dorkbot.B.

Симптомы :

  • не обновляется антивирус;
  • тормозит и зависает компьютер;
  • периодически возникает ;
  • многие сайты в интернете не открываются;
  • результаты веб-поиска изменены;
  • на рабочем столе появляются новые ярлыки, при нажатии на которые, пользователь попадает на другие зараженные веб-сайты ;
  • кроме того вирус ворует конфиденциальную информацию: список посещённых веб-страниц, логины и пароли к сайтам, кредитным картам и т.д.

Симптом заражения вирусом

Вставляем флешку и смотрим в файловом менеджере, например, в Total Commander, не появилось ли на флешке каких-либо новых файлов, папок, ярлыков, скрытых файлов и папок. Если да, то в системе есть вирус . На картинку ниже, представлен типичный результат заражения троянской программой Dorkbot :

Оригинальные, настоящие папки с файлами в данный момент скрыты (1) , то есть если открыть флешку через Проводник Windows (Мой компьютер - Съёмный диск), то этих папок мы бы не увидели. Но на их месте появились ярлыки (2) , которые имеют одинаковые названия, как и настоящие папки и выглядят как настоящие папки, так что визуально обычный пользователь может и не заметить подмены. Появляется также скрытая папка «RECYCLER» (3) , в которой находится файл «11afb2c9.exe». Заражение компьютера происходит следующим образом: ничего не подозревающий пользователь открывает флешку и нажимает на ярлык, думая что он открывает папку. При этом запускается вирусный файл 11afb2c9.exe и одновременно открывается нужная пользователю скрытая папка, так что момент заражения компьютера происходит совсем незаметно.

Алгоритм лечения от вируса:

  1. Обновляем и антивирусные базы до актуальной версии.
  2. Убедиться, что антивирус включен и работает исправно.
  3. Запускаем полную проверку разделов антивирусом.

Теперь нужно восстановить флешку . Если информация на флэшки не нужна, тогда можно просто ее форматировать, если нужно все сохранить, тогда удаляем ярлыки, папку «RECYCLER» и снимаем атрибуты со скрытых папок. Для этого выделяем все наши скрытые папки и запускаем команду изменения атрибутов. Для этого выделяем нужные папки, нажимаем правой клавишей — свойства, и убираем флажок с атрибута «Скрытый», потом жмем «Ок»

Название угрозы

Имя исполняемого файла:

Тип угрозы:

Поражаемые ОС:

Win32/Dorkbot

(random).exe

Win32 (Windows XP, Windows Vista, Windows Seven, Windows 8)



Метод заражения Win32/Dorkbot

Win32/Dorkbot копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла (random).exe . Потом он создаёт ключ автозагрузки в реестре с именем Win32/Dorkbot и значением (random).exe . Вы также можете найти его в списке процессов с именем (random).exe или Win32/Dorkbot .

Если у вас есть дополнительные вопросы касательно Win32/Dorkbot, пожалуйста, заполните и мы вскоре свяжемся с вами.


Скачать утилиту для удаления

Скачайте эту программу и удалите Win32/Dorkbot and (random).exe (закачка начнется автоматически):

* SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить Win32/Dorkbot в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.

Функции

Программа способна защищать файлы и настройки от вредоносного кода.

Программа может исправить проблемы с браузером и защищает настройки браузера.

Удаление гарантированно - если не справился SpyHunter предоставляется бесплатная поддержка.

Антивирусная поддержка в режиме 24/7 входит в комплект поставки.


Скачайте утилиту для удаления Win32/Dorkbot от российской компании Security Stronghold

Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления Win32/Dorkbot .. Утилита для удаления Win32/Dorkbot найдет и полностью удалит Win32/Dorkbot и все проблемы связанные с вирусом Win32/Dorkbot. Быстрая, легкая в использовании утилита для удаления Win32/Dorkbot защитит ваш компьютер от угрозы Win32/Dorkbot которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления Win32/Dorkbot сканирует ваши жесткие диски и реестр и удаляет любое проявление Win32/Dorkbot. Обычное антивирусное ПО бессильно против вредоносных таких программ, как Win32/Dorkbot. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с Win32/Dorkbot и (random).exe (закачка начнется автоматически):

Функции

Удаляет все файлы, созданные Win32/Dorkbot.

Удаляет все записи реестра, созданные Win32/Dorkbot.

Программа может исправить проблемы с браузером.

Иммунизирует систему.

Удаление гарантированно - если Утилита не справилась предоставляется бесплатная поддержка.

Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.

Наша служба поддержки готова решить вашу проблему с Win32/Dorkbot и удалить Win32/Dorkbot прямо сейчас!

Оставьте подробное описание вашей проблемы с Win32/Dorkbot в разделе . Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с Win32/Dorkbot. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления Win32/Dorkbot.

Как удалить Win32/Dorkbot вручную

Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с Win32/Dorkbot, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены Win32/Dorkbot .

Чтобы избавиться от Win32/Dorkbot , вам необходимо:

1. Завершить следующие процессы и удалить соответствующие файлы:

  • C:\Documents and Settings\Administrator\Application Data\76.exe
  • C:\Documents and Settings\Administrator\Application Data\77.exe
  • C:\Documents and Settings\Administrator\Application Data\78.exe
  • C:\Documents and Settings\Administrator\Application Data\79.exe
  • C:\Documents and Settings\Administrator\Application Data\7A.exe
  • C:\Documents and Settings\Administrator\Application Data\7B.exe
  • C:\Documents and Settings\Administrator\Application Data\7C.exe
  • C:\Documents and Settings\Administrator\Application Data\7D.exe
  • C:\Documents and Settings\Administrator\Application Data\7E.exe
  • C:\Documents and Settings\Administrator\Application Data\7F.exe
  • C:\Documents and Settings\Administrator\Application Data\80.exe
  • C:\Documents and Settings\Administrator\Application Data\81.exe
  • C:\Documents and Settings\Administrator\Application Data\82.exe
  • C:\Documents and Settings\Administrator\Application Data\83.exe
  • C:\Documents and Settings\Administrator\Application Data\84.exe

Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать для безопасного решения проблемы.

2. Удалите следующие папки:

3. Удалите следующие ключи и\или значения ключей реестра:

Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать для безопасного решения проблемы.

4. Сбросить настройки браузеров

Win32/Dorkbot иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию "Сбросить настройки браузеров" в "Инструментах" в программе для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие Win32/Dorkbot. Для сброса настроек браузеров вручную используйте данную инструкцию:

Для Internet Explorer

    Если вы используете Windows XP, кликните Пуск , и Открыть . Введите следующее в поле Открыть без кавычек и нажмите Enter : "inetcpl.cpl".

    Если вы используете Windows 7 или Windows Vista, кликните Пуск . Введите следующее в поле Искать без кавычек и нажмите Enter : "inetcpl.cpl".

    Выберите вкладку Дополнительно

    Под Сброс параметров браузера Internet Explorer , кликните Сброс . И нажмите Сброс ещё раз в открывшемся окне.

    Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.

    После того как Internet Explorer завершит сброс, кликните Закрыть в диалоговом окне.

Предупреждение: Сбросить настройки браузеров в Инструменты

Для Google Chrome

    Найдите папку установки Google Chrome по адресу: C:\Users\"имя пользователя"\AppData\Local\Google\Chrome\Application\User Data .

    В папке User Data , найдите файл Default и переименуйте его в DefaultBackup .

    Запустите Google Chrome и будет создан новый файл Default .

    Настройки Google Chrome сброшены

Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Stronghold AntiMalware.

Для Mozilla Firefox

    Откройте Firefox

    В меню выберите Помощь > Информация для решения проблем .

    Кликните кнопку Сбросить Firefox .

    После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить .

Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Stronghold AntiMalware.

Заразиться вирусом всегда неприятно, неважно, заразился ли ты сам от друга или речь идет твой компьютер. Иногда компьютерные вирусы даже неприятнее, чем обычные, например, когда из-за навязчивого окна на весь экран намертво встает работа или все флешки виснут, зараженные очередным червяком.

Что такое dorkbot.as?

Этот вирус – червяк, каковых целое семейство. Все они «расползаются» через устройства переноса данных, соцсети и программы обмена сообщениями. Он может участвовать в DoS-атаках. Хотя основная неприятность, связанная с ним – блокировка сайтов обновлений, скачиваемых системой, для чего он запоминает пароли и логины пользователей.

Даже чаще, чем с внешних носителей, эта «зараза» просачивается через ссылки на себя в сообщениях программ-пейджеров (Skype, ICQ) или соцсетей, посылаемые по всем контактам адресной книги зараженного компьютера. Сам файл сохраняется в директории %APPDATA% (C:\Users\\AppData\Roaming), причем имя у него генерируется случайным образом из серийного номера винчестера и помещается в автозагрузку (ветка реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run).

После этого он может копировать себя на все подключаемые внешние диски, включая карты памяти смартфонов, прячась в папку RECYCLER и используя autorun.inf для автозапуска при каждом подключении к компьютеру.

Самое коварное в его размножении, что вирус может перехватывать сообщения тайно от пользователя и дописывать к ним ссылку на себя.

Он умело прячется от пользователя, используя собственный руткит. Самый распространённый вариант – его внедрение в explorer.exe, хотя некоторые пострадавшие встречали его даже в mspaint.exe

Самая же большая подлость, ожидающая незадачливого пользователя, попытавшегося его «вылечить» - встроенная проверка целостности, благодаря которой dorkbot.as защищается от удаления, заваливая мусором и пытаясь повредить диск.

Борьба с Dorkbot.as: классический метод

Самый простой способ попробовать победить эту напасть – воспользоваться классическими антивирусными утилитами. Лидеры направления – всем известные AVZ и AVPTool от Касперского. Правда, есть несчастные, которым эти программы не помогали.

Еще одна программа, которую можно использовать – «Dr.Web CureIt!», детище брэнда «Доктор Веб». Программа, как и две предыдущие, бесплатная, так что доступна всем.

Все три продукта доступны и понятны даже абсолютно несведущим в компьютерных премудростях пользователям. Вот только не всегда справляются с dorkbot.as, в частности, потому что не удаляют и не лечат активные вирусы, а он же в автозагрузке, т.е. постоянно запущен. Поэтому многим приходится просить помощи у знакомых (или не знакомых) профессионалов.

Удаление с помощью специальных утилит

Для самых опасных или широко распространившихся вирусов выпускаются специальные утилиты удаления. Есть такие и для семейства Dorkbot.

В интернете можно найти импортную программу SpyHunter 4, разработанную компанией из США Enigma Software Group. Она поможет удалить dorkbot.as без проблем из операционной системы Windows.
Приверженцам отечественного программирования подойдет Win32/Dorkbot от Security Stronghold.

Врачи говорят, что если вирус лечить. Он пройдет за 7 дней, если не лечить – за неделю. К сожалению, с компьютерными вирусами дело обстоит иначе, и каждый день отсрочки лечения может оказаться в прямом смысле последним для электронного друга. Поэтому, если dorkbot.as появился на компьютере или был замечен на флешках, лечение стоит начать немедленно.



Рекомендуем почитать