Форум esetnod32.ru [тема: Оперативная память = winlogon.exe(648) - модифицированный Win32/Dorkbot.B червь - очистка невозможна] http://forum.esetnod32.ru Новое в теме Оперативная память = winlogon.exe(648) - модифицированный Win32/Dorkbot.B червь - очистка невозможна форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Fri, 01 May 2026 23:29:56 +0300 Оперативная память = winlogon.exe(648) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(648) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Гаухар Саимова,
перейдите в эту тему
http://forum.esetnod32.ru/forum6/topic10585/
18.02.2014 18:12:38, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic10582/message75815/ http://forum.esetnod32.ru/messages/forum6/topic10582/message75815/ Tue, 18 Feb 2014 18:12:38 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = winlogon.exe(648) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(648) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
удалите все найденное в мбам,

далее,

добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

+

добавьте новый образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
18.02.2014 18:11:38, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic10582/message75814/ http://forum.esetnod32.ru/messages/forum6/topic10582/message75814/ Tue, 18 Feb 2014 18:11:38 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = winlogon.exe(648) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(648) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
http://rghost.ru/private/52508904/a1f2ae0ea00ef4ab32fdcfc0b9366195
18.02.2014 18:01:40, Вадим Тян.]]> http://forum.esetnod32.ru/messages/forum6/topic10582/message75810/ http://forum.esetnod32.ru/messages/forum6/topic10582/message75810/ Tue, 18 Feb 2014 18:01:40 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = winlogon.exe(648) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(648) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
18.02.2014 14:29:14, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic10582/message75808/ http://forum.esetnod32.ru/messages/forum6/topic10582/message75808/ Tue, 18 Feb 2014 14:29:14 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = winlogon.exe(648) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(648) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вирус не удалился, http://rghost.ru/private/52504110/c65c58fea6e39012f9d8ea59740e9147
18.02.2014 14:16:29, Вадим Тян.]]> http://forum.esetnod32.ru/messages/forum6/topic10582/message75806/ http://forum.esetnod32.ru/messages/forum6/topic10582/message75806/ Tue, 18 Feb 2014 14:16:29 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = winlogon.exe(648) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(648) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v3.81.11 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\PHOTO.EXE
addsgn 925277AA026AC1CC0B34464E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Siggen4.10036 [DrWeb]

zoo %SystemRoot%\TEMP\WRD-36C-3C0-572C.~LK\1.MDD
addsgn 98E01FEA04685C9AD5FCAEB15708528C606E778385C9E04372B6C9856D46B24E331847E43E559DC0567CBF6F3213CA047FAAD9D37D06B23C16B0D02338733225 8 mdd.1

zoo %SystemRoot%\TEMP\WRD-36C-3C0-572C.~LK\0.MDD
addsgn 98E01F2A2E6B5C9A8DCFAEB15708528C606E778385C9E04372B6C9856DF69F4D331847E43E559DC0567CBF6F3213CA047FAAD9D391DCB23C16B0D02338733225 8 mdd

zoo %SystemRoot%\TEMP\POOLER\POOLER.EXE
addsgn 9204779A556A147751DFAEB1EFF811F50E4A7708EF57DE9889480DECFDFDB94FD29C0B006F1C170D12860C9B7763BFD1BD7363BAD53B400822B645234DEE8E78 8 Trojan.Siggen3.39984 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\FILE.EXE

adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA
addsgn A7679B1991D6F51E0BD4AE3879077F442503E1B722BB1FF1D03F4CB18A57304CAA2282FC7F5514749E2DC59F169F7C20FC9EE8FB509B1B6D2DFEA10AB84722FA 8 BackDoor.IRC.NgrBot.42 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\SCREENSAVERPRO.SCR
hide %SystemDrive%\PROGRAM FILES\MOTOROLA\MOTOCONNECTSERVICE\MOTOCONNECTSERVICE.EXE
addsgn 98E01F222B6B5C9A99C9AEB15708528C606E778385C9E04372B6C9856D7EA94D331847E43E559DC0567CBF6F3213CA047FAAD9D3112BB13C16B0D02338733225 8 mdd.2

zoo %SystemRoot%\TEMP\WRD-36C-3C0-572C.~LK\2.MDD
addsgn 98E01FC2E9665C9A9D98AEB15708528C606E778385C9E04372B6C9856D165C42331847E43E559DC0567CBF6F3213CA047FAAD9D35D9DBE3C16B0D02338733225 8 mdd.3

zoo %SystemRoot%\TEMP\WRD-36C-3C0-572C.~LK\3.MDD
addsgn 98E01F5A0D685C9A46F4AEB15708528C606E778385C9E04372B6C9856DEEC34F331847E43E559DC0567CBF6F3213CA047FAAD9D35110B33C16B0D02338733225 8 mdd.4

zoo %SystemRoot%\TEMP\WRD-36C-3C0-572C.~LK\4.MDD
addsgn A7659219B97E2673F4C16A3326C8FAD8DB75037B3FFA1F78854E799B50D6714C769E2604BDB999C26E880F9FCD16746B7DDF28056EE73D2C2DB7D6647C072273 8 Tool.BtcMine.133 [DrWeb]

zoo %SystemRoot%\TEMP\69.TMP\MINERD.EXE
zoo %SystemRoot%\TEMP\1C.TMP\MINERD.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.APEHA.RU

; Ask Toolbar
exec C:\Program Files\AskBarDis\unins000.exe

; Adobe Media Player
exec msiexec /qb /x {DE3A9DC5-9A5D-6485-9662-347162C7E4CA}

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
=============
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
17.02.2014 21:44:09, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic10582/message75793/ http://forum.esetnod32.ru/messages/forum6/topic10582/message75793/ Mon, 17 Feb 2014 21:44:09 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = winlogon.exe(648) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(648) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте, помогите удалить вирус, на флешке из-за него все папки стали ярлыками, антивирус не удаляет. Спасибо. http://rghost.ru/52491397
17.02.2014 20:38:24, Вадим Тян.]]> http://forum.esetnod32.ru/messages/forum6/topic10582/message75792/ http://forum.esetnod32.ru/messages/forum6/topic10582/message75792/ Mon, 17 Feb 2014 20:38:24 +0400 Обнаружение вредоносного кода и ложные срабатывания