Форум esetnod32.ru [тема: winlogon.exe(660) модифицированный Win32/Dorkbot.B червь] http://forum.esetnod32.ru Новое в теме winlogon.exe(660) модифицированный Win32/Dorkbot.B червь форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 29 Apr 2026 12:32:25 +0300 winlogon.exe(660) модифицированный Win32/Dorkbot.B червь winlogon.exe(660) модифицированный Win32/Dorkbot.B червь в форуме Обнаружение вредоносного кода и ложные срабатывания.
Ну хорошо, если проблем больше нет - Выполните рекомендации
03.10.2012 02:33:10, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic7098/message52977/ http://forum.esetnod32.ru/messages/forum6/topic7098/message52977/ Wed, 03 Oct 2012 02:33:10 +0400 Обнаружение вредоносного кода и ложные срабатывания winlogon.exe(660) модифицированный Win32/Dorkbot.B червь winlogon.exe(660) модифицированный Win32/Dorkbot.B червь в форуме Обнаружение вредоносного кода и ложные срабатывания.
Первая проверка - обнаружено много вредоносных программ (лог прилагается).
Удаление зараженных объектов.
Вторая проверка - чисто (лог прилагается).
Спасибо за помощь!
mbam-log-2012-10-03 (02-12-13).txt
mbam-log-2012-10-03 (02-21-55).txt
03.10.2012 02:32:02, violacea.]]> http://forum.esetnod32.ru/messages/forum6/topic7098/message52976/ http://forum.esetnod32.ru/messages/forum6/topic7098/message52976/ Wed, 03 Oct 2012 02:32:02 +0400 Обнаружение вредоносного кода и ложные срабатывания winlogon.exe(660) модифицированный Win32/Dorkbot.B червь winlogon.exe(660) модифицированный Win32/Dorkbot.B червь в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
====code==== 
;;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\38E.EXE
bl E08FC756EFB4E0150E4025924324F3A0 31744
addsgn 1A4B719A55C9D2414BD4C4B18C6914052529B0C7C9FAF7F383C3C51FCAE5314C491D3C62A466DD4941807BAA0A2709FA95EDEA72558A58492B77A47A4CEA42F8 8 Virus6890
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\372.EXE
bl 8C86E55F7C073B2D14BE820195004392 31744
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\337.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\VSEYET.EXE
bl C483BFFC879233D99BA52F05FD100872 389120
addsgn 9A8C60DA5582BC8DF42BAEB134C81205158AFCF6C1FA1F7885C3C5BC92779A5E434F911B88555FC415DEEF00461649FA7DDFE97255DAFA2C2B27272E82675A01 8 Вщклище
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\BOLLYCTYVUGA.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\QETNOSOPVYFY.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\74.EXE
bl 4046988DBCAEE483BBE24D7013B381D2 315392
delref HTTP://XN--80AFAT5B.XN--P1AI
delref HTTP://ГИГРА.РФ/
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA
chklst
delvir
deltmp
delnfr
czoo
restart
=============
- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, егнужно прислать на электронный адрес sendvirus2011@gmail.com.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.
03.10.2012 01:48:08, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic7098/message52975/ http://forum.esetnod32.ru/messages/forum6/topic7098/message52975/ Wed, 03 Oct 2012 01:48:08 +0400 Обнаружение вредоносного кода и ложные срабатывания winlogon.exe(660) модифицированный Win32/Dorkbot.B червь winlogon.exe(660) модифицированный Win32/Dorkbot.B червь в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте.
Оперативная память = winlogon.exe(660) модифицированный Win32/Dorkbot.B червь очистка невозможна
полный образ автозапуска uVS :
MICROSOF-A92B87_2012-10-03_01-26-44.7z
03.10.2012 01:45:26, violacea.]]> http://forum.esetnod32.ru/messages/forum6/topic7098/message52974/ http://forum.esetnod32.ru/messages/forum6/topic7098/message52974/ Wed, 03 Oct 2012 01:45:26 +0400 Обнаружение вредоносного кода и ложные срабатывания