zarberg.exe sadrive.exe Faomor.exe не могу избавиться от вирусов.
Здравствуйте! Очень нужна ваша помощь!
У меня два компа, соединены витой парой в сеть, на основной машине стоит 3G модем и шарит интернет на вторую машину. Пару дней назад основной комп. высветил синий экран и перезагрузился, windows перестал загружаться, доходит до входа в систему и снова синий экран (на тот момент были установлены все обновления винды и был SP3). В безопасном режиме не загружался, но мне нужно было срочно забрать данные из компа и я поставил вторую винду на диск C. Зашел в новую винду, установил драйвера и антивирус (COMODO). Но комп снова перезагрузился с синим экраном. После перезагрузки я сделал проверку антивирусом и он обнаружил файл eclean (вроде так) в папке recycle, там же был zarberg.exe и еще всякие 1\25\62.tmp и тому подобное в C:\Documents and Settings\Администратор\Application Data, которое появляется там после каждой загрузки windows. Я решил посмотреть в реестре и нашел там, прописанный запуск этого zarberg под оболочкой explorer. Удалил его и все связанное с ним, по ходу я заподозрил, что к этому же причастно и sadrive, которое тоже прописало себя в реестре под видом нового оборудования или, что то, вроде этого. Удалил и все данные о sadrive. Почистил систему COMODO и потом еще Dr.Web CureIt!После этого мне пришлось переустанавливать COMODO т.к. он начал жестко глючить и иногда выкидывало на синий экран, когда я пытался в нем всячески заблокировать zarberg. После переустановки антивируса все началось снова, но теперь он увидел, что все начинается с загадочного файла Faomor, который тоже прописал в реестре, я не разобрался, но он вроде сам себя устанавливает из директории application data, его там не было изначально, не знаю откуда он берется. Faomor и все связанное с ним в реестре почистил. Сейчас проверил, на втором компе тот же вирус, но он не ведет себя так же активно, может быть потому, что выход в интернет на этом компе. Сеть пока разъединил, как удалить эти вирусы я не знаю =( Они откуда то восстанавливаются. Восстановление системы выкл. автозагрузка тоже. Сейчас SP2 т.к. не успел windows еще обновить. Да, еще какой то процесс висит в диспетчере KaraokeSer, не знаю, что это такое. Вроде все. Имеем самопрописывающиеся sadrive zarberg Faomor и появляющиеся 12\15\63\75.temp =( Если поможете, то пошлю данные со второго компа.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Стас Злодей, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe','');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Firewall Security Ser-vice');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена
Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Обнаруженные папки: 2
C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830 (Worm.AutoRun) -> Действие не было предпринято.
Обнаруженные файлы: 7
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\Desktop.ini (Worm.AutoRun) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
