Форум esetnod32.ru [тема: Оперативная память = winlogon.exe(828) - модифицированный Win32/Dorkbot.B червь - очистка невозможна] http://forum.esetnod32.ru Новое в теме Оперативная память = winlogon.exe(828) - модифицированный Win32/Dorkbot.B червь - очистка невозможна форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 30 Apr 2026 12:08:42 +0300 Оперативная память = winlogon.exe(828) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(828) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Vladimir Yuryev
Рекомендую отключить автозапуск - в качестве профилактический меры.
09.07.2013 15:15:55, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic9647/message69593/ http://forum.esetnod32.ru/messages/forum6/topic9647/message69593/ Tue, 09 Jul 2013 15:15:55 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = winlogon.exe(828) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(828) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Спасибо за помощь! Как в прошлый, так и в текущий случай заражения проделаны все рекомендации, и следовательно было вылечено. Источник заражения известен - мобильник HTC с андроидом, в частности, его флешка.
09.07.2013 15:12:19, Vladimir Yuryev.]]> http://forum.esetnod32.ru/messages/forum6/topic9647/message69591/ http://forum.esetnod32.ru/messages/forum6/topic9647/message69591/ Tue, 09 Jul 2013 15:12:19 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = winlogon.exe(828) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(828) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Vladimir Yuryev пишет:
Повторное заражение этим вирусом!
=============

потому и повторное, что в прошлый раз недолечили систему до конца. выполните в этот раз все рекомендации хелперов.
09.07.2013 07:59:59, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9647/message69585/ http://forum.esetnod32.ru/messages/forum6/topic9647/message69585/ Tue, 09 Jul 2013 07:59:59 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = winlogon.exe(828) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(828) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт:
====code==== 
;uVS v3.80.12 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl 5D7460DD619A47ED791AF7C93F6EA415 2295328
addsgn 1A18D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C2B9100CD6993D8517C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 GuardMail
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\CQHYHA.EXE
bl A20C05C72A75AB52B59A27A0D1FB2E29 205312
addsgn A7659219B9628B762FD6AEB1643707A9B4CAFC1E2104E087154E719A50D6714C769CCE8BAF159DC0CEDD7B7ECB626FFA2854E5B6C49AB0A5C82A5BCE5796B2E3 16 DorkBot
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\SCREENSAVERPRO.SCR
bl A4E806CFC72C4388C0A9D109546FF7C8 149637
addsgn 9252621A156AC1CCE05B514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 virblockada_vir
bl 9FA189A660525223275162445A9C4CD9 600608
addsgn 1A52F49A5583C58CF42B254E3143FE8E6082CF3FB2FED2D8FD8BC5C84397F2B50E6532DA76B81EB03AF78AF54B4E1439F6DB25D62D92B071EE72E0D038F9487D 8 MailSputnik
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT
chklst
delvir
; Java(TM) SE Development Kit 6 Update 37
exec MsiExec.exe /I{32A3A4F4-B792-11D6-A78A-00B0D0160370} /quiet
; Java DB 10.6.2.1
exec MsiExec.exe /X{73EC658D-A1C6-40CA-8E86-E05821BAACE7} /quiet
deltmp
delnfr
delref HTTP://WWW.CHIPXP.RU/
delref HTTP://WWW.MAIL.RU/CNT/9516
setdns Подключение по локальной сети 2\4\{FFA5405A-3AA5-4776-A955-8D77EA7BC22F}\
czoo
restart
=============
08.07.2013 16:24:40, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic9647/message69573/ http://forum.esetnod32.ru/messages/forum6/topic9647/message69573/ Mon, 08 Jul 2013 16:24:40 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = winlogon.exe(828) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(828) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Повторное заражение этим вирусом!
VYURYEVHOME_2013-07-08_16-26-03.rar
08.07.2013 16:13:06, Vladimir Yuryev.]]> http://forum.esetnod32.ru/messages/forum6/topic9647/message69571/ http://forum.esetnod32.ru/messages/forum6/topic9647/message69571/ Mon, 08 Jul 2013 16:13:06 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = winlogon.exe(828) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(828) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Vladimir Yuryev
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
18.06.2013 22:06:49, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic9647/message68938/ http://forum.esetnod32.ru/messages/forum6/topic9647/message68938/ Tue, 18 Jun 2013 22:06:49 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = winlogon.exe(828) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(828) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Спасибо, проблема решена!
18.06.2013 21:58:34, Vladimir Yuryev.]]> http://forum.esetnod32.ru/messages/forum6/topic9647/message68937/ http://forum.esetnod32.ru/messages/forum6/topic9647/message68937/ Tue, 18 Jun 2013 21:58:34 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = winlogon.exe(828) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(828) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 
;uVS v3.80.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\МОИ ДОКУМЕНТЫ\DOWNLOADS\EI 2.58.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC38506CA82 59 Win32/Dorkbot.B
delref HTTP://WEBALTA.RU/SEARCH
addsgn A7679B1991D64F4F1712EFB14DF51A93648AD7CBF5FB5D7884FEB9BD12D6F819E334DE5FA8149D6836083FDE461544DAB79EE873589A0E6D2D5CB90F0D472252 8 BackDoor.IRC.NgrBot.146 [DrWeb]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\NQHYHL.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\SCREENSAVERPRO.SCR
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\NQHYHL.EXE
chklst
delvir
delref HTTP://WEBALTA.RU/SEARCH
deltmp
delnfr
; Java(TM) 6 Update 37
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216037FF} /quiet
czoo
restart
=============
перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту sendvirus2011@gmail.com
----------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
18.06.2013 07:51:33, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9647/message68910/ http://forum.esetnod32.ru/messages/forum6/topic9647/message68910/ Tue, 18 Jun 2013 07:51:33 +0400 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = winlogon.exe(828) - модифицированный Win32/Dorkbot.B червь - очистка невозможна Оперативная память = winlogon.exe(828) - модифицированный Win32/Dorkbot.B червь - очистка невозможна в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте! Описание: Оперативная память = winlogon.exe(82  8)  - модифицированный Win32/Dorkbot.B червь - очистка невозможна. Сделал все как написано здесь http://forum.esetnod32.ru/forum9/topic2687/. Вот файл.
VYURYEVHOME_2013-06-18_07-49-25.rar
18.06.2013 07:45:11, Vladimir Yuryev.]]> http://forum.esetnod32.ru/messages/forum6/topic9647/message68909/ http://forum.esetnod32.ru/messages/forum6/topic9647/message68909/ Tue, 18 Jun 2013 07:45:11 +0400 Обнаружение вредоносного кода и ложные срабатывания