win32 spy.zbot.zr

@Kirill_D · Регистрация: 28.11.2012

Author24 — интернет-сервис помощи студентам

Помогите с удалением.
При запуске крашатся все программы автозагрузки и сбиваются персональные настройки. Нод выдаёт сообщение с названием вируса и каждый раз обнаруживает его в памяти разных программ

Заранее благодарен

@shestale · 28.11.2012, 18:19

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Evilmaker\appdata\local\temp\svchost.exe','');
 DeleteFile('C:\Users\Evilmaker\appdata\local\temp\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

2. После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

3. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

4. Пофиксите в HJT эти строки (некоторых строк после выполнения скрипта AVZ может уже и не быть):

Код

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

5. Сделайте новые логи AVZ и Rsit и прикрепите их к сообщению.

6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!

@Kirill_D · 28.11.2012, 20:18 **[ТС]**

5. Сделайте новые логи AVZ и Rsit и прикрепите их к сообщению.

6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.

@~~Katharsis~~ · 29.11.2012, 00:50

из найденного MBAM удалите только это:

Обнаруженные параметры в реестре: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{A33995A1-9EA4-3AB4-7D31-07924A271F01} (Spyware.Zeus) -> Параметры: C:\Users\Evilmaker\AppData\Roaming\Inys\faloe.exe -> Действие не было предпринято.

Обнаруженные файлы: 18
C:\Users\Evilmaker\AppData\Roaming\Inys\faloe.exe (Spyware.Zeus) -> Действие не было предпринято.
C:\Users\Evilmaker\AppData\Local\svchost.exe (Malware.Tool) -> Действие не было предпринято.
C:\Users\Evilmaker\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3VTK7S5V\uResWw[1] (Spyware.Zeus) -> Действие не было предпринято.
C:\Users\Evilmaker\secupdat.dat (Worm.Autorun) -> Действие не было предпринято.
C:\Users\Evilmaker\Local Settings\Application Data\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Действие не было предпринято.

программы для удаленного администрирования используете? если не используетет и не устанавливали, так же отметьте для удаления эти строки:

C:\Users\Evilmaker\AppData\Local\admdll.dll (PUP.RemoteAdmin) -> Действие не было предпринято.
C:\Users\Evilmaker\AppData\Local\raddrv.dll (PUP.RemoteAdmin) -> Действие не было предпринято

повторите сканирование только диска С, лог выложите

смените все пароли

@Kirill_D · 29.11.2012, 01:43 **[ТС]**

Спасибо помогло, при повторном сканировании С угроз не нашло

@~~Katharsis~~ · 29.11.2012, 01:50

Сообщение от Kirill_D

при повторном сканировании С угроз не нашло

выложите лог сюда

@~~Katharsis~~ · 30.11.2012, 02:07

Kirill_D, ждем ответа

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	28.11.2012, 18:19	2
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ 1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить. Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Evilmaker\appdata\local\temp\svchost.exe',''); DeleteFile('C:\Users\Evilmaker\appdata\local\temp\svchost.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится! 2. После перезагрузки, выполните такой скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. 3. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме. 4. Пофиксите в HJT эти строки (некоторых строк после выполнения скрипта AVZ может уже и не быть): Код O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) 5. Сделайте новые логи AVZ и Rsit и прикрепите их к сообщению. 6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Программу не закрывайте и самостоятельно ни чего не удаляйте! 1

@~~Katharsis~~ Заблокирован
	29.11.2012, 00:50	4
	из найденного MBAM удалите только это: Обнаруженные параметры в реестре: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\|{A33995A1-9EA4-3AB4-7D31-07924A271F01} (Spyware.Zeus) -> Параметры: C:\Users\Evilmaker\AppData\Roaming\Inys\faloe.exe -> Действие не было предпринято. Обнаруженные файлы: 18 C:\Users\Evilmaker\AppData\Roaming\Inys\faloe.exe (Spyware.Zeus) -> Действие не было предпринято. C:\Users\Evilmaker\AppData\Local\svchost.exe (Malware.Tool) -> Действие не было предпринято. C:\Users\Evilmaker\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3VTK7S5V\uResWw[1] (Spyware.Zeus) -> Действие не было предпринято. C:\Users\Evilmaker\secupdat.dat (Worm.Autorun) -> Действие не было предпринято. C:\Users\Evilmaker\Local Settings\Application Data\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Действие не было предпринято. программы для удаленного администрирования используете? если не используетет и не устанавливали, так же отметьте для удаления эти строки: C:\Users\Evilmaker\AppData\Local\admdll.dll (PUP.RemoteAdmin) -> Действие не было предпринято. C:\Users\Evilmaker\AppData\Local\raddrv.dll (PUP.RemoteAdmin) -> Действие не было предпринято повторите сканирование только диска С, лог выложите смените все пароли 1

@Kirill_D 0 / 0 / 0 Регистрация: 28.11.2012 Сообщений: 6
	29.11.2012, 01:43 [ТС]	5
	Спасибо помогло, при повторном сканировании С угроз не нашло 0

@~~Katharsis~~ Заблокирован
	29.11.2012, 01:50	6
	Сообщение от Kirill_D при повторном сканировании С угроз не нашло выложите лог сюда 0

@~~Katharsis~~ Заблокирован
	30.11.2012, 02:07	7
	Kirill_D, ждем ответа 0