Здравствуйте, помогите убить вирус zaberg.exe, asdrive32.exe. Сделал логи через AVZ и HiJackThis.
Здравствуйте, помогите убить вирус zaberg.exe, asdrive32.exe. Сделал логи через AVZ и HiJackThis.
Уважаемый(ая) Jukero, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\WINDOWS\system32\proxysvc32.exe',''); QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe',''); QuarantineFile('C:\WINDOWS\sadrive32.exe',''); QuarantineFile('C:\StrajUSB.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Jpeket.exe',''); DeleteFile('C:\Documents and Settings\Администратор\Application Data\Jpeket.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Jpeket'); DeleteFile('C:\WINDOWS\sadrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe'); DeleteFile('C:\WINDOWS\system32\proxysvc32.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена
Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Сделайте лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал новые логи и отправил запрошенные файлы на карантин
Установку обноалений проигнорировали? Тогда ждать повторного появления заразы осталось недолго
Удалите в МВАМ все, кроме1. Откройте Блокнот и скопируйте в него текст скриптаКод:HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
2. Нажмите Файл - Сохранить какКод:gw5rzc8b.exe -del service niupb gw5rzc8b.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\niupb" gw5rzc8b.exe -reboot
3. Выберите папку, в которую сохранили gw5rzc8b.exe (gmer)
4. Укажите Тип файла - [/b]Все файлы (*.*)[/b]
5. Введите имя файла cleanup.bat и нажмите кнопку Сохранить
6. Запустите cleanup.bat
ВНИМАНИЕ: Компьютер перезагрузится!!!
Сделайте новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вроде все сделал, zaberg и sadrive32 вроде не проявляют активность. Сделал лог после лечения в gmer. Но появилась проблема с подключением к интернет. Когда подключаю соединение все работает отлично, но через некоторое время вываливается ошибка "Generic Host Process for Win32 Services- обнаружена ошибка. Приложение будет закрыто" и подключение запускается теперь только после перезагрузки компа. На счет обновления не проигнорировал, просто хочется сначала заразу эту убить, а то порядком достала
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\администратор\\application data\\jpeket.exe - Trojan.Win32.Yakes.zvv ( DrWEB: Trojan.Inject1.99, BitDefender: Trojan.Generic.KDV.586283, AVAST4: Win32:Kryptik-IGG [Trj] )
- c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\ecleaner.exe - Trojan.Win32.Yakes.zvu ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.585377, AVAST4: Win32:Kryptik-IGG [Trj] )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1830\\zaberg.exe - Packed.Win32.TDSS.aa ( DrWEB: BackDoor.Siggen.637, BitDefender: Trojan.Generic.7438653, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Kryptik-IHA [Trj] )
- c:\\windows\\sadrive32.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.586055, AVAST4: Win32:Kryptik-IGG [Trj] )
Уважаемый(ая) Jukero, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.