Познавательный блог  

Поиск по сайту

Гугль

Архивы

Хитрый вирус IPZ.EXE или как нельзя ставить Radmin

На досуге провели сканирование сети и обнаружилось огромное количество рабочих станций с простыми паролями или без пароля на Radmin, что оказалось причиной заражения вирусом IPZ. Поэтому до необходимо везде, где стоит Radmin установить на него ПАРОЛЬ.

После удаления Radmin, необходимо просканировать РМ утилитой AVZ, а потом в командной строке выполнить скрипты:


SC STOP IPZ
SC DELETE IPZ
ping 127.0.0.1 -n 4 > nul
DEL %systemroot%\SYSTEM32\IPZ.EXE /S /Q /F
DEL %systemroot%\SYSTEM32\IPZ.tmp /S /Q /F
DEL %systemroot%\SYSTEM32\IPZ-db.bin /S /Q /F
MKDIR %systemroot%\SYSTEM32\IPZ.EXE
MKDIR %systemroot%\SYSTEM32\IPZ.tmp
MKDIR %systemroot%\SYSTEM32\IPz-db.bin
pause
del /f /s /q "%temp%\*"

SC STOP IPZ
SC DELETE IPZ
DEL %systemroot%\SYSTEM32\IPZ.EXE
mkdir %systemroot%\SYSTEM32\IPZ.EXE
SC STOP IPZ2
SC DELETE IPZ2
DEL %systemroot%\SYSTEM32\IPZ2.EXE
mkdir %systemroot%\SYSTEM32\IPZ2.EXE

Комментарии

Комментарий от setler [ Июль 19, 2013, 13:36 ]

Не могу понять смысл этих строк:
MKDIR %systemroot%\SYSTEM32\IPZ.EXE
MKDIR %systemroot%\SYSTEM32\IPZ.tmp
MKDIR %systemroot%\SYSTEM32\IPz-db.bin

Комментарий от admin [ Июль 19, 2013, 15:52 ]

я думаю что он создает папки с именами которые любит вирус. и вирус не может создать свои файлы или папки с этими именами, думая, что они уже есть. Избегаем повторного заражения.

Комментарий от lol [ Декабрь 13, 2013, 15:47 ]

cd %temp%
del *.* /F /S /Q
А вот этого лучше не делать. Если по какой-то причине cd не произойдет, например, это может произойти, если переменная temp по какой-то причине не назначена, будет удалено содержимое текущей папки, а это по дефолту system32.
Лучше написать: del /f /s /q «%temp%\*»

Комментарий от admin [ Декабрь 13, 2013, 16:58 ]

пожалуй да. поправил.

Написать комментарий








Страницы

Свежие записи

Гугль

Мета

Счетчики


Rambler's Top100

Рубрики

  Разработка и дизайн — StvPromo.ru