Размещено 17.01.2013 11:08:35
Червь Win32/Dorkbot.D. заразил winlogon.exe nod находит, но вылечить не может
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.
На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения
PRO32
— надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.
Приглашаем вас присоединиться к новому форуму PRO32.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.
Червь Win32/Dorkbot.D. Помогите пожалуйста..., Помогите пожалуйста, схватил этого червя
1
Размещено 17.01.2013 11:15:39
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
без перезагрузки, добавьте новый образ автозапуска который будет создан автоматически
------------
+
добавьте лог журнала обнаружения угроз
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
| Код |
|---|
;uVS v3.77.2 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE delall C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24NAQ.EXE adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\FZGWGB.EXE delall C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\HOSTSV.EXE delall C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\NEPRO0XZ.EXE delall C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-106669\W68V12.EXE deltmp delnfr regt 5 crimg |
без перезагрузки, добавьте новый образ автозапуска который будет создан автоматически
------------
+
добавьте лог журнала обнаружения угроз
Изменено: santy - 17.01.2013 12:23:52
Размещено 17.01.2013 13:24:16
Конфикер у вас в локальной сети не гуляет?
судя по журналу dorkbot был очищен, но все таки... добавьте новый образ автозапуска,
который автоматически создан скриптом. (он будет в папке с uVS)
| Цитата |
|---|
| 17.01.2013 9:43:57 Защита в режиме реального времени файл D:\WINDOWS\system32\x Win32/Conficker.AA червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: D:\WINDOWS\system32\svchost.exe. 17.01.2013 9:43:47 Защита в режиме реального времени файл D:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\79NUM32L\cebtwgpo[1].png Win32/Conficker.AA червь очищен удалением (после следующего перезапуска) - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: D:\WINDOWS\system32\svchost.exe. |
который автоматически создан скриптом. (он будет в папке с uVS)
1
Читают тему