Хитрый вирус IPZ.EXE или как нельзя ставить Radmin | Познавательный блог

в результатах поиска

Меню

Хитрый вирус IPZ.EXE или как нельзя ставить Radmin

26 декабря, 2011 admin Вирусы

На досуге провели сканирование сети и обнаружилось огромное количество рабочих станций с простыми паролями или без пароля на Radmin, что оказалось причиной заражения вирусом IPZ. Поэтому до необходимо везде, где стоит Radmin установить на него ПАРОЛЬ.

ipz - Хитрый вирус IPZ.EXE или как нельзя ставить Radmin

После удаления Radmin, необходимо просканировать РМ утилитой AVZ, а потом в командной строке выполнить скрипты:

SC STOP IPZ SC DELETE IPZ ping 127.0.0.1 -n 4 > nul DEL %systemroot%\SYSTEM32\IPZ.EXE /S /Q /F DEL %systemroot%\SYSTEM32\IPZ.tmp /S /Q /F DEL %systemroot%\SYSTEM32\IPZ-db.bin /S /Q /F MKDIR %systemroot%\SYSTEM32\IPZ.EXE MKDIR %systemroot%\SYSTEM32\IPZ.tmp MKDIR %systemroot%\SYSTEM32\IPz-db.bin pause del /f /s /q "%temp%\*"

SC STOP IPZ SC DELETE IPZ DEL %systemroot%\SYSTEM32\IPZ.EXE mkdir %systemroot%\SYSTEM32\IPZ.EXE SC STOP IPZ2 SC DELETE IPZ2 DEL %systemroot%\SYSTEM32\IPZ2.EXE mkdir %systemroot%\SYSTEM32\IPZ2.EXE

4 комментария

⇓

setler
19 июля, 2013 к 13:36

Не могу понять смысл этих строк:
MKDIR %systemroot%\SYSTEM32\IPZ.EXE
MKDIR %systemroot%\SYSTEM32\IPZ.tmp
MKDIR %systemroot%\SYSTEM32\IPz-db.bin
admin
19 июля, 2013 к 15:52

я думаю что он создает папки с именами которые любит вирус. и вирус не может создать свои файлы или папки с этими именами, думая, что они уже есть. Избегаем повторного заражения.
lol
13 декабря, 2013 к 15:47

cd %temp%
del *.* /F /S /Q
А вот этого лучше не делать. Если по какой-то причине cd не произойдет, например, это может произойти, если переменная temp по какой-то причине не назначена, будет удалено содержимое текущей папки, а это по дефолту system32.
Лучше написать: del /f /s /q “%temp%\*”
admin
13 декабря, 2013 к 16:58

пожалуй да. поправил.

Добавить комментарий

топ