zaberg.exe и другие проблемы

[nuknuk]

доброго дня всем, поймал где то вирус, при запуске windоws появляется окошко со свойствами zaberg.exe, который находится на диске С в папкеRecycler. Также в процессах постоянно висят непонятные процесс с расширением .tmp, которые в большом количестве находятся в папке Users\Appdata\Roaming
Также при подключение внешних устройств папки показываются в виде ярлыков и показывают путь в виде %windir%\system32\cmd.exe /c "start %cd%RECYCLER\e5188982.exe &&%windir%\explorer.exe %cd%информатика, при удалении e5188982.exe папки перестают открываться
заранее спасибо за помощь

[Info_bot]

Уважаемый(ая) nuknuk, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
 DelBHO('{09EA1F80-F40A-11D1-B792-444553540001}');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=112638).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[nuknuk]

спасибо за быстрый ответ, окно при запуске вроде не появилось, но файлы .tmp так и остались на месте + к ним присоединился непонятный экзешник с именем Fyaaaf.exe

Код:

Файл сохранён как	111119_124404_virusinfo_cure_4ec7a49417711.zip
Размер файла	29215
MD5	e6a0f0be2d7fbd001d6bd201f041a40e

вот новые логи:

[Bratez]

В логах однако ничего подозрительного не видно.

[nuknuk]

cтранно очень, файлы висят
проблемы с флэшкой так и осталась, щас подключил её, и сделал сканирование AVZ

ап. файлы tmp удалил, после перезагрузки не появились, с флэшкой вопрос так и остается открытым

[crush13]

nuknuk, вставьте флешку в компьютер и сделайте логи.

[thyrex]

С помощью Total Commander с включенной в его настройках опцией показа скрытых файлов Вы должны увидеть настоящие папки. Они стали скрытыми.
Удалите фальшивые папки-ярлыки, снимите атрибут "скрытый" (Файл - Сменить атрибуты) у настоящих папок

[nuknuk]

С помощью Total Commander с включенной в его настройках опцией показа скрытых файлов Вы должны увидеть настоящие папки. Они стали скрытыми.
Удалите фальшивые папки-ярлыки, снимите атрибут "скрытый" (Файл - Сменить атрибуты) у настоящих папок

сделал, но при повторном отключении всё повторяется, даже если форматировать то при подключении всё равно появляется RECYCLER\e5188982.exe и autorun который не открывается

[thyrex]

Сделайте лог ComboFix

[nuknuk]

Сделайте лог ComboFix

сделал, флэщка была вставлена

[nuknuk]

сделал

[thyrex]

Пробуйте теперь еще раз выполнить написанное в сообщении №8

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1830\\zaberg.exe - Trojan.Win32.Diple.dbbi ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.420617, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:IRCBot-EGW [Trj] )