Познавательный блог Мобильная врсия

Страницы

Промо

Хитрый вирус IPZ.EXE или как нельзя ставить Radmin

На досуге провели сканирование сети и обнаружилось огромное количество рабочих станций с простыми паролями или без пароля на Radmin, что оказалось причиной заражения вирусом IPZ. Поэтому до необходимо везде, где стоит Radmin установить на него ПАРОЛЬ.

ipz - Хитрый вирус IPZ.EXE или как нельзя ставить Radmin
После удаления Radmin, необходимо просканировать РМ утилитой AVZ, а потом в командной строке выполнить скрипты:


SC STOP IPZ
SC DELETE IPZ
ping 127.0.0.1 -n 4 > nul
DEL %systemroot%\SYSTEM32\IPZ.EXE /S /Q /F
DEL %systemroot%\SYSTEM32\IPZ.tmp /S /Q /F
DEL %systemroot%\SYSTEM32\IPZ-db.bin /S /Q /F
MKDIR %systemroot%\SYSTEM32\IPZ.EXE
MKDIR %systemroot%\SYSTEM32\IPZ.tmp
MKDIR %systemroot%\SYSTEM32\IPz-db.bin
pause
del /f /s /q "%temp%\*"

SC STOP IPZ
SC DELETE IPZ
DEL %systemroot%\SYSTEM32\IPZ.EXE
mkdir %systemroot%\SYSTEM32\IPZ.EXE
SC STOP IPZ2
SC DELETE IPZ2
DEL %systemroot%\SYSTEM32\IPZ2.EXE
mkdir %systemroot%\SYSTEM32\IPZ2.EXE

Комментарии

Комментарий от setler [ 19 июля, 2013, 13:36 ]

Не могу понять смысл этих строк:
MKDIR %systemroot%\SYSTEM32\IPZ.EXE
MKDIR %systemroot%\SYSTEM32\IPZ.tmp
MKDIR %systemroot%\SYSTEM32\IPz-db.bin

Комментарий от admin [ 19 июля, 2013, 15:52 ]

я думаю что он создает папки с именами которые любит вирус. и вирус не может создать свои файлы или папки с этими именами, думая, что они уже есть. Избегаем повторного заражения.

Комментарий от lol [ 13 декабря, 2013, 15:47 ]

cd %temp%
del *.* /F /S /Q
А вот этого лучше не делать. Если по какой-то причине cd не произойдет, например, это может произойти, если переменная temp по какой-то причине не назначена, будет удалено содержимое текущей папки, а это по дефолту system32.
Лучше написать: del /f /s /q «%temp%\*»

Комментарий от admin [ 13 декабря, 2013, 16:58 ]

пожалуй да. поправил.

Написать комментарий








Поиск по сайту

Промо

Статистика

Мета

  Разработка и дизайн — StvPromo.ru