Форум esetnod32.ru [тема: Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна] http://forum.esetnod32.ru Новое в теме Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Fri, 01 May 2026 07:04:48 +0300 Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn A7679B19B90E8B37F3D4AEB1640F57D9248AFCF6E1FA0F38852B4741AF29F28827B4C3277E55F749D495C8FF061670FF7DAFA87220A37769F543A42FC7C1679B 8 Dorkbot
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\5.EXE
addsgn A7679BF0AA0294224BD4C64946881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C07D0C49F75C4C32EF4CAC41415DA3BE4AC965B2FC706AB7E 8 Dorkbot
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
bl A07C9ACD0D1F256F7152AFB295E5A23B 40960
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\5.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA
chklst
delvir
deltmp
delnfr
regt 5
regt 12
restart
=============
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: 2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
01.06.2012 17:02:27, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic5871/message45134/ http://forum.esetnod32.ru/messages/forum6/topic5871/message45134/ Fri, 01 Jun 2012 17:02:27 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
uVS

OFFIS-16B91CFB7_2012-06-01_15-37-28.7z
01.06.2012 16:46:39, Lana.]]> http://forum.esetnod32.ru/messages/forum6/topic5871/message45133/ http://forum.esetnod32.ru/messages/forum6/topic5871/message45133/ Fri, 01 Jun 2012 16:46:39 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Да, везде стоят галочки, после удаления выдает отчет, в котором пишется, что все удалено. Интересно, что при новой проверке, число вирусов больше, чем было...
Спасибо за помощь. Сейчас еще раз попробую удалить.
01.06.2012 16:30:57, Lana.]]> http://forum.esetnod32.ru/messages/forum6/topic5871/message45130/ http://forum.esetnod32.ru/messages/forum6/topic5871/message45130/ Fri, 01 Jun 2012 16:30:57 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вы точно удаляете записи? Поставьте галочки на всех пунктах и нажмите Удалить объекты.
Затем перезагрузитесь и повторите лог uVS
01.06.2012 16:27:52, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic5871/message45129/ http://forum.esetnod32.ru/messages/forum6/topic5871/message45129/ Fri, 01 Jun 2012 16:27:52 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Ощущение, что я в казино играю в азартные игры. Теперь выдало 13 вирусов. Проверять больше не буду, жду от вас вердикта)))

Отчет.
mbam-log-2012-06-01 (15-21-48).txt
01.06.2012 16:26:52, Lana.]]> http://forum.esetnod32.ru/messages/forum6/topic5871/message45128/ http://forum.esetnod32.ru/messages/forum6/topic5871/message45128/ Fri, 01 Jun 2012 16:26:52 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
У меня такое ощущение, что я хожу по кругу)))))) Снова обнаружило 11 вирусов (радует, что уже не 17). Почему они не удаляются?

Отчет.
mbam-log-2012-06-01 (15-04-33).txt
01.06.2012 16:06:32, Lana.]]> http://forum.esetnod32.ru/messages/forum6/topic5871/message45127/ http://forum.esetnod32.ru/messages/forum6/topic5871/message45127/ Fri, 01 Jun 2012 16:06:32 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Да, удалите все, перезагрузитесь и повторите лог Мбам.
01.06.2012 15:34:23, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic5871/message45123/ http://forum.esetnod32.ru/messages/forum6/topic5871/message45123/ Fri, 01 Jun 2012 15:34:23 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Сделала проверку malwarebytes, обнаружено 17 вредоносных программ. Что мне дальше делать? Закрыть все приложения и удалить объекты?

Вот отчет сканирования.

mbam-log-2012-06-01 (14-21-53).txt
01.06.2012 15:30:17, Lana.]]> http://forum.esetnod32.ru/messages/forum6/topic5871/message45122/ http://forum.esetnod32.ru/messages/forum6/topic5871/message45122/ Fri, 01 Jun 2012 15:30:17 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Отсюда - Malwarebytes Anti-Malware
01.06.2012 15:00:38, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic5871/message45114/ http://forum.esetnod32.ru/messages/forum6/topic5871/message45114/ Fri, 01 Jun 2012 15:00:38 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Не могу зайти на сайт malwarebytes ("Проблема при загрузке страницы"). Есть еще какой-то надежный источник, где можно скачать программу?
01.06.2012 14:59:30, Lana.]]> http://forum.esetnod32.ru/messages/forum6/topic5871/message45113/ http://forum.esetnod32.ru/messages/forum6/topic5871/message45113/ Fri, 01 Jun 2012 14:59:30 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
addsgn A7679BF0AA0224324BD4C6F55F881261848AFCF689AA7BF1A0C3C5BC50559D34704194DE5BBDAE92A2DD78F544E95CE26D9FE82BD6D7A86C6D775BACCA066233 8 tr.Carberp
addsgn A7679BF0AA0224324BD4C6A14C881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CB23D9FE82BD6D7C4486D775BACCA7E4633 8 Dorkbot
addsgn A7679BF0AA0294124BD4C64956881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C07E0C49F75C4C32EF4CAF4F415DA3BE4AC965B2FC706AB7E 8 BackDoor.IRC.NgrBot.42 [DrWeb]
zoo %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\AVMSC.EXE
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
delall %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\AVMSC.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\CLTETG.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\HMTETL.EXE
chklst
delvir
deltmp
delnfr
regt 5
czoo
restart
=============
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: 2011-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
01.06.2012 14:30:45, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic5871/message45109/ http://forum.esetnod32.ru/messages/forum6/topic5871/message45109/ Fri, 01 Jun 2012 14:30:45 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Помогите устранить это безобразие)))

Надеюсь, я все правильно сделала.

OFFIS-16B91CFB7_2012-06-01_12-55-25.7z
01.06.2012 14:21:04, Lana.]]> http://forum.esetnod32.ru/messages/forum6/topic5871/message45108/ http://forum.esetnod32.ru/messages/forum6/topic5871/message45108/ Fri, 01 Jun 2012 14:21:04 +0400 Обнаружение вредоносного кода и ложные срабатывания