Форум esetnod32.ru [тема: Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна] http://forum.esetnod32.ru Новое в теме Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 30 Apr 2026 15:41:17 +0300 Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
в мбам если не проверяли, то сделайте еще проверку, доркбот обычно много копий создает, хотя они могут быть и не активны, просто лежат в директориях, пока на них кто-нибудь не наступит.


====quote====
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
=============

18.11.2015 09:52:40, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic12647/message89315/ http://forum.esetnod32.ru/messages/forum6/topic12647/message89315/ Wed, 18 Nov 2015 09:52:40 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Все сделал, проблемы больше нет.
2015-11-18_08-02-24_log.txt
18.11.2015 09:24:59, Наталья Немцева.]]> http://forum.esetnod32.ru/messages/forum6/topic12647/message89314/ http://forum.esetnod32.ru/messages/forum6/topic12647/message89314/ Wed, 18 Nov 2015 09:24:59 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ДОЛЖЕНКОВА СН\APPLICATION DATA\UPDATE\EXPLORER.EXE
addsgn 1A6F3D9A5583348CF42B254E3143FE56730189FE027CA37885C3F66707EDB2384C2A3F427E55E921A006349F461672390981D16A20803BAA9577A42FFCC55664 8 Worm:Win32/Dorkbot.I [Microsoft]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ДОЛЖЕНКОВА СН\APPLICATION DATA\MICROSOFT\WINDOWS\QHISII.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ДОЛЖЕНКОВА СН\APPLICATION DATA\C731200
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ДОЛЖЕНКОВА СН\LOCAL SETTINGS\TEMP\JCPVY\QNEEAWP.EXE
bl 735B6602B4BD1D71246F43642D6873AA 331776
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ДОЛЖЕНКОВА СН\APPLICATION DATA
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ДОЛЖЕНКОВА СН\APPLICATION DATA\MICROSOFT\WINDOWS
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart
=============
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
17.11.2015 16:17:03, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic12647/message89290/ http://forum.esetnod32.ru/messages/forum6/topic12647/message89290/ Tue, 17 Nov 2015 16:17:03 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Добавил Лог выполнения скрипта и новый образ автозапуска
2015-11-17_07-59-40_log.txt
ДОЛЖЕНКОВА_СН__2015-11-17_12-39-46.TXT
17.11.2015 14:06:06, Наталья Немцева.]]> http://forum.esetnod32.ru/messages/forum6/topic12647/message89283/ http://forum.esetnod32.ru/messages/forum6/topic12647/message89283/ Tue, 17 Nov 2015 14:06:06 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Журнал проверки
Версия базы данных сигнатур вирусов: 8211 (20130409)
Дaтa: 17.11.2015  Время: 8:22:10
Просканированные диски, папки и файлы: Оперативная память
Оперативная память = winlogon.exe(764) - модифицированный Win32/Dorkbot.B червь - очистка невозможна
Количество просканированных объектов: 321
Количество обнаруженных угроз: 1
Количество очищенных объектов: 0
Время выполнения: 8:22:14  Общее время проверки: 4 сек. (00:00:04)

=============
добавьте лог выполнения скрипта
это файл дата_времяlog.txt из папки uVS
+
добавьте новый образ автозапуска.
17.11.2015 10:29:01, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic12647/message89254/ http://forum.esetnod32.ru/messages/forum6/topic12647/message89254/ Tue, 17 Nov 2015 10:29:01 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Выполнила скрипт в uVS, сделала дополнительно быструю проверку системы в малваребай, проблема осталась.
Файлы журнала после проверки.txt
17.11.2015 08:27:21, Наталья Немцева.]]> http://forum.esetnod32.ru/messages/forum6/topic12647/message89253/ http://forum.esetnod32.ru/messages/forum6/topic12647/message89253/ Tue, 17 Nov 2015 08:27:21 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
это доркбот


====quote====
16.11.2015 14:54:27 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна ДОЛЖЕНКОВА_СН_\Долженкова СН
16.11.2015 14:13:22 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна

=============

выполните скрипт в uVS, и далее по тексту сообщения 3
16.11.2015 15:58:27, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic12647/message89243/ http://forum.esetnod32.ru/messages/forum6/topic12647/message89243/ Mon, 16 Nov 2015 15:58:27 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Файлы журнала
Файлы журнала.txt
16.11.2015 14:58:45, Наталья Немцева.]]> http://forum.esetnod32.ru/messages/forum6/topic12647/message89242/ http://forum.esetnod32.ru/messages/forum6/topic12647/message89242/ Mon, 16 Nov 2015 14:58:45 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
понятно, что это. Dorkbot

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ДОЛЖЕНКОВА СН\APPLICATION DATA\UPDATE\EXPLORER.EXE
addsgn 1A6F3D9A5583348CF42B254E3143FE56730189FE027CA37885C3F66707EDB2384C2A3F427E55E921A006349F461672390981D16A20803BAA9577A42FFCC55664 8 Worm:Win32/Dorkbot.I [Microsoft]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ДОЛЖЕНКОВА СН\APPLICATION DATA\MICROSOFT\WINDOWS\QHISII.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ДОЛЖЕНКОВА СН\APPLICATION DATA\C731200
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ДОЛЖЕНКОВА СН\LOCAL SETTINGS\TEMP\JCPVY\PPMGZMJ.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ДОЛЖЕНКОВА СН\LOCAL SETTINGS\TEMP\JCPVY\VAWWROA.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ДОЛЖЕНКОВА СН\LOCAL SETTINGS\TEMP\JCPVY\XRWCSSJ.EXE
;------------------------autoscript---------------------------

chklst
delvir

; Ask Toolbar
exec MsiExec.exe /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} /quiet
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
=============
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
16.11.2015 14:32:15, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic12647/message89240/ http://forum.esetnod32.ru/messages/forum6/topic12647/message89240/ Mon, 16 Nov 2015 14:32:15 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
добавьте еще лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic2687/
16.11.2015 14:28:55, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic12647/message89239/ http://forum.esetnod32.ru/messages/forum6/topic12647/message89239/ Mon, 16 Nov 2015 14:28:55 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
NOD обнаружил вирус в оперативной памяти. Подскажите что делать. Сделал полный образ автозапуска в uVS.
2015-11-16_14-12-11.TXT
16.11.2015 14:20:39, Наталья Немцева.]]> http://forum.esetnod32.ru/messages/forum6/topic12647/message89238/ http://forum.esetnod32.ru/messages/forum6/topic12647/message89238/ Mon, 16 Nov 2015 14:20:39 +0300 Обнаружение вредоносного кода и ложные срабатывания