Форум esetnod32.ru [тема: Оперативная память » winlogon.exe(916) - модифицированный Win32/Dorkbot.B червь - очистка невозможна] http://forum.esetnod32.ru Новое в теме Оперативная память » winlogon.exe(916) - модифицированный Win32/Dorkbot.B червь - очистка невозможна форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Tue, 14 Apr 2026 14:59:03 +0300 Оперативная память » winlogon.exe(916) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память » winlogon.exe(916) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
plt767,
Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
====code==== 
;;uVS v3.75 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 1A00A19A5583358CF42B2D8C04DD4B0525FED1A302169C948D4021448DCA55BE2C3BC773F7961E744B95DD9F4662587991DB314E7182D6AFCD08C2AC3F7956A0 8 GuardMail
addsgn A7679B2355684C728A38A6B364C8AA37258AFCA6DB79F37C0CCFE1EB0685F2A0279EEF73179D92CCD680849FF9E9D6AF7D98BF43875B7A0C98875BAE1506697C 8 Win32/Kryptik.AENL [NOD32]
addsgn A7659219B962CFB6FFBEAC10AC7A5205DA5A148F7605E0B146C3C5BC50D6714C6A7DA632583ABC0C58E2ECEF29373E900EA99C5D7499C05F4256CE40E6640306 8 Win32/Jeefo.A [NOD32]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР.MICROSOF-8843D0\APPLICATION DATA\CGEYEA.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР.MICROSOF-8843D0\APPLICATION DATA\ZMOTH\APPLICATION\ZMOTH.EXE
zoo %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\AVMSC.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР.MICROSOF-8843D0\APPLICATION DATA
chklst
delvir
delref HTTP://XTREME.WS/
czoo
deltmp
delnfr
restart
=============
- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится;
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес sendvirus2011@gmail.com. - после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.
13.05.2012 14:40:28, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic5596/message43220/ http://forum.esetnod32.ru/messages/forum6/topic5596/message43220/ Sun, 13 May 2012 14:40:28 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память » winlogon.exe(916) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память » winlogon.exe(916) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Доброго времени суток!
В связи с возникшей проблемой, внимательно прочитал Вашу переписку на форуме.
У меня та же проблема (видно из заголовка сообщения), в связи с чем обращаюсь с просьбой о помощи.
Образ автозапуска прилагаю.
И еще вопрос, как защититься от таких вирусов в будущем (я ловлю его уже второй раз).
Ответ прошу дать на форуме либо в почту plotnikovoleg@rambler.ru

С уважением,
plt767.
MICROSOF-8843D0_2012-08-08_00-06-36.rar
13.05.2012 14:36:13, plt767.]]> http://forum.esetnod32.ru/messages/forum6/topic5596/message43219/ http://forum.esetnod32.ru/messages/forum6/topic5596/message43219/ Sun, 13 May 2012 14:36:13 +0400 Обнаружение вредоносного кода и ложные срабатывания