Хитрый вирус IPZ.EXE или как нельзя ставить Radmin

На досуге провели сканирование сети и обнаружилось огромное количество рабочих станций с простыми паролями или без пароля на Radmin, что оказалось причиной заражения вирусом IPZ. Поэтому до необходимо везде, где стоит Radmin установить на него ПАРОЛЬ.

После удаления Radmin, необходимо просканировать РМ утилитой AVZ, а потом в командной строке выполнить скрипты:

SC STOP IPZ SC DELETE IPZ ping 127.0.0.1 -n 4 > nul DEL %systemroot%\SYSTEM32\IPZ.EXE /S /Q /F DEL %systemroot%\SYSTEM32\IPZ.tmp /S /Q /F DEL %systemroot%\SYSTEM32\IPZ-db.bin /S /Q /F MKDIR %systemroot%\SYSTEM32\IPZ.EXE MKDIR %systemroot%\SYSTEM32\IPZ.tmp MKDIR %systemroot%\SYSTEM32\IPz-db.bin pause del /f /s /q "%temp%\*"

SC STOP IPZ SC DELETE IPZ DEL %systemroot%\SYSTEM32\IPZ.EXE mkdir %systemroot%\SYSTEM32\IPZ.EXE SC STOP IPZ2 SC DELETE IPZ2 DEL %systemroot%\SYSTEM32\IPZ2.EXE mkdir %systemroot%\SYSTEM32\IPZ2.EXE

Комментарии

Комментарий от setler [ 19 июля, 2013, 13:36 ]

Не могу понять смысл этих строк:
MKDIR %systemroot%\SYSTEM32\IPZ.EXE
MKDIR %systemroot%\SYSTEM32\IPZ.tmp
MKDIR %systemroot%\SYSTEM32\IPz-db.bin

Комментарий от admin [ 19 июля, 2013, 15:52 ]

я думаю что он создает папки с именами которые любит вирус. и вирус не может создать свои файлы или папки с этими именами, думая, что они уже есть. Избегаем повторного заражения.

Комментарий от lol [ 13 декабря, 2013, 15:47 ]

cd %temp%
del *.* /F /S /Q
А вот этого лучше не делать. Если по какой-то причине cd не произойдет, например, это может произойти, если переменная temp по какой-то причине не назначена, будет удалено содержимое текущей папки, а это по дефолту system32.
Лучше написать: del /f /s /q “%temp%\*”

Комментарий от admin [ 13 декабря, 2013, 16:58 ]

пожалуй да. поправил.

Написать комментарий

Статистика

Страницы

Промо