Форум esetnod32.ru [тема: Модифицированный Win32/Dorkbot.A червь очистка невозможна] http://forum.esetnod32.ru Новое в теме Модифицированный Win32/Dorkbot.A червь очистка невозможна форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 15 Apr 2026 09:02:49 +0300 Модифицированный Win32/Dorkbot.A червь очистка невозможна Модифицированный Win32/Dorkbot.A червь очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Далее выполните наши рекомендации пользователям
http://forum.esetnod32.ru/forum9/topic3998/
05.07.2012 22:42:42, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic6205/message47670/ http://forum.esetnod32.ru/messages/forum6/topic6205/message47670/ Thu, 05 Jul 2012 22:42:42 +0400 Обнаружение вредоносного кода и ложные срабатывания Модифицированный Win32/Dorkbot.A червь очистка невозможна Модифицированный Win32/Dorkbot.A червь очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
в папке с uVS должен был появиться новый архив с именем ZOO_ИМЯ ПК_ДАТА - выложите его на rghost.ru и дайте ссылку
05.07.2012 17:03:18, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic6205/message47622/ http://forum.esetnod32.ru/messages/forum6/topic6205/message47622/ Thu, 05 Jul 2012 17:03:18 +0400 Обнаружение вредоносного кода и ложные срабатывания Модифицированный Win32/Dorkbot.A червь очистка невозможна Модифицированный Win32/Dorkbot.A червь очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
новый лог Мбам после перезагрузки.

Вроде все в порядке )
mbam-log-2012-07-05 (20-40-33).txt
05.07.2012 17:01:09, warfy.]]> http://forum.esetnod32.ru/messages/forum6/topic6205/message47620/ http://forum.esetnod32.ru/messages/forum6/topic6205/message47620/ Thu, 05 Jul 2012 17:01:09 +0400 Обнаружение вредоносного кода и ложные срабатывания Модифицированный Win32/Dorkbot.A червь очистка невозможна Модифицированный Win32/Dorkbot.A червь очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Выполните скрипт в uVS:

====quote====
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\HVGB5Z69HR.EXE
bl AEEC0405A1C587562275AB20CC6E3521 1169224
delall %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\HVGB5Z69HR.EXE
deltmp
delnfr
czoo
restart
=============
После перезагрузки сделайте новый лог Мбам
05.07.2012 15:40:28, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic6205/message47598/ http://forum.esetnod32.ru/messages/forum6/topic6205/message47598/ Thu, 05 Jul 2012 15:40:28 +0400 Обнаружение вредоносного кода и ложные срабатывания Модифицированный Win32/Dorkbot.A червь очистка невозможна Модифицированный Win32/Dorkbot.A червь очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
после скрипта, система сразу не загрузилась, зависла, пришлось вырубать и заново включать компьютер.

последний архив uVs во вложении
ROOT-PC_2012-07-05_18-21-30.rar
05.07.2012 14:27:03, warfy.]]> http://forum.esetnod32.ru/messages/forum6/topic6205/message47586/ http://forum.esetnod32.ru/messages/forum6/topic6205/message47586/ Thu, 05 Jul 2012 14:27:03 +0400 Обнаружение вредоносного кода и ложные срабатывания Модифицированный Win32/Dorkbot.A червь очистка невозможна Модифицированный Win32/Dorkbot.A червь очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
addsgn A7679BF0AA022C524BD4C68176881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CBA5D9FE82BD6D7D01C6D775BACCA621233 8 Dorkbot.0705
zoo %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\678E.EXE
zoo %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\6E63.EXE
zoo %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\84BC.EXE
zoo %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\DEDC.EXE
zoo %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\EB59.EXE
addsgn 9AFC6EDA5582A28DF42BAEB12CC81205158AFCF6C9FA1F7885C3C5BC5840FEBD143FB714BF22AE5BB9AB5FBC461649FA7DDFE97255DAB02C2D77A42F91345725 8 Dorkbot.0705
zoo %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\12CF.EXE
zoo %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\64B4.EXE
addsgn 9AEC6EDA5582A28DF42BAEB12CC81205158AFCF6C9FA1F7885C3C5BC78BC97785DD40B17939EA650D464D854461649FA7DDFE97255DAB0AC2D77A42F8F697A16 8 Dorkbot.0705
zoo %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\24DA.EXE
zoo %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\50CQRSBUILD.EXE
delall %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\50CQRSBUILD.EXE
addsgn 9A146FDA5582A28DF42BAEB12CC81205158AFCF6C9FA1F7885C3C5BC99B93FA16E2D5E1CAFB575789E3FEEF6461649FA7DDFE97255DAB0AC2D77A42F8073761B 8 Dorkbot.0705
zoo %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\5AF6.EXE
zoo %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\5X6WKWYQVTGGGG.EXE
delall %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\5X6WKWYQVTGGGG.EXE
zoo %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\ADX0Z9REF84QGGGG.EXE
delall %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\ADX0Z9REF84QGGGG.EXE
zoo %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\GH5UUX5YEZ44GGGG.EXE
delall %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\GH5UUX5YEZ44GGGG.EXE
zoo %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\JYYHRZZGGGG.EXE
delall %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\JYYHRZZGGGG.EXE
chklst
delvir
deltmp
delnfr
CZOO
restart
=============
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru
------------
05.07.2012 13:17:43, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic6205/message47582/ http://forum.esetnod32.ru/messages/forum6/topic6205/message47582/ Thu, 05 Jul 2012 13:17:43 +0400 Обнаружение вредоносного кода и ложные срабатывания Модифицированный Win32/Dorkbot.A червь очистка невозможна Модифицированный Win32/Dorkbot.A червь очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Образ автоматический во вложении
ROOT-PC_2012-07-05_16-57-52.rar
05.07.2012 13:10:20, warfy.]]> http://forum.esetnod32.ru/messages/forum6/topic6205/message47580/ http://forum.esetnod32.ru/messages/forum6/topic6205/message47580/ Thu, 05 Jul 2012 13:10:20 +0400 Обнаружение вредоносного кода и ложные срабатывания Модифицированный Win32/Dorkbot.A червь очистка невозможна Модифицированный Win32/Dorkbot.A червь очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
в мбам удалите все найденное, перегрузите систему,
еще раз выполните быстрое сканирование
-----------
новый образ сейчас гляну.
+
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

adddir %SystemDrive%\USERS\ROOT\APPDATA\ROAMING
delall %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\GCXUXA.EXE
crimg
=============
без перезагрузки,
добавьте образ автозапуска, который будет автоматически создан этим скриптом
05.07.2012 12:45:02, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic6205/message47578/ http://forum.esetnod32.ru/messages/forum6/topic6205/message47578/ Thu, 05 Jul 2012 12:45:02 +0400 Обнаружение вредоносного кода и ложные срабатывания Модифицированный Win32/Dorkbot.A червь очистка невозможна Модифицированный Win32/Dorkbot.A червь очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Спасибо, после быстрой проверки есет не нашел больше ничего
после скрипта архив из каталога uVS отправил по указанным адресам.

Сделал доп. проверку в малваребайт, там еще кое-что нашлось
логи во вложении
mbam-log-2012-07-05 (16-20-39).txt
ROOT-PC_2012-07-05_16-07-04.rar
05.07.2012 12:32:51, warfy.]]> http://forum.esetnod32.ru/messages/forum6/topic6205/message47576/ http://forum.esetnod32.ru/messages/forum6/topic6205/message47576/ Thu, 05 Jul 2012 12:32:51 +0400 Обнаружение вредоносного кода и ложные срабатывания Модифицированный Win32/Dorkbot.A червь очистка невозможна Модифицированный Win32/Dorkbot.A червь очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
addsgn 9AA062DA5582A28DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BC7641CE146085DB12913ECF233DE92076461649FA7DDFE97255DAB02C2D77A42F94724712 8 Trojan.Siggen4.8760 [DrWeb]
zoo %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\7 9\RUNDLL32.EXE
delall %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\7 9\RUNDLL32.EXE
delall %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\BOT.EXE
delall %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\D370EA.EXE
delall %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\DDXUXX.EXE
delall %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\EXPLORER.EXE
delall %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\GCXUXA.EXE
delall %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\7 9\L3.LNK
delall %SystemDrive%\USERS\ROOT\MNLSLEXI.EXE
delall %SystemDrive%\USERS\ROOT\APPDATA\ROAMING\SVCHOST.EXE
addsgn 9AE456DA5582A28DF42BAEB12CC81205158AFCF6C9FA1F7885C3C5BCE49D99C6102BCB10BE82434ADFB5CF88461649FA7DDFE97255DAD9494303EC4A97745634 8 Dorkbot
zoo %SystemDrive%\USERS\PUBLIC\R-344233-5553-2-32\WINLOGON.EXE
bl 466B64DDCF76EE8AEDEEFF738E612EBE 274432
delall %SystemDrive%\USERS\PUBLIC\R-344233-5553-2-32\WINLOGON.EXE
adddir %SystemDrive%\USERS\ROOT\APPDATA\ROAMING
chklst
delvir
delref HTTP://WWW.SMAXI.NET
delref HTTP://SEARCH.CONDUIT.COM?SEARCHSOURCE=10&CTID=CT1060933
deltmp
delnfr
czoo
regt 5
regt 12
restart
=============
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
05.07.2012 11:51:08, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic6205/message47574/ http://forum.esetnod32.ru/messages/forum6/topic6205/message47574/ Thu, 05 Jul 2012 11:51:08 +0400 Обнаружение вредоносного кода и ложные срабатывания Модифицированный Win32/Dorkbot.A червь очистка невозможна Модифицированный Win32/Dorkbot.A червь очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте.
Помогите пожалуйста справиться с аналогичной проблемой. После проверки компьютера eset - nod выдает "Оперативная память модифицированный червь очистка невозможна". Сделал лог uVs - в приложении.
ROOT-PC_2012-07-05_15-18-19.rar
05.07.2012 11:39:13, warfy.]]> http://forum.esetnod32.ru/messages/forum6/topic6205/message47571/ http://forum.esetnod32.ru/messages/forum6/topic6205/message47571/ Thu, 05 Jul 2012 11:39:13 +0400 Обнаружение вредоносного кода и ложные срабатывания