Вирус, Operating memory » explorer.exe(1664)

**Виталийсв** · 12.07.2012, 00:52

При запуске системы нод 32 находит такой вирус 10.07.2012 16:48:07 Startup scanner file Operating memory » explorer.exe(1664) a variant of Win32/Spy.Zbot.ZR trojan unable to clean но удалить не может

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 12.07.2012, 00:55

Уважаемый(ая) Виталийсв, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Никита Соловьев** · 12.07.2012, 01:09

Пофиксите при помощи hijackthis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,D:\Temp\wpbt0.dll,

Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('D:\Temp\wpbt0.dll','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\qdclo.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\lwtwfl.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Gulaoq\apka.exe','');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Gulaoq\apka.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{8070E044-5D03-78FC-6C9D-0D8E1CF060C0}');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\lwtwfl.exe');
 DeleteFile('D:\Temp\wpbt0.dll');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\qdclo.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FlashPlayerUpdate');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
 DeleteFileMask('D:\Temp','*.*',true);
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\Gulaoq','*.*',true);
 DeleteDirectory('D:\Temp');
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\Gulaoq');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip пришлите нам, используя ссылку "прислать запрошенный карантин" над первым сообщением в этой теме.

Повторите действия, указанные в правилах. Прикрепите новые отчеты AVZ/hijackthis.

+ это: http://virusinfo.info/showthread.php?t=115256

**Виталийсв** · 12.07.2012, 16:34

При запуске системы нод 32 находит такой вирус 10.07.2012 16:48:07 Startup scanner file Operating memory » explorer.exe(1664) a variant of Win32/Spy.Zbot.ZR trojan unable to clean но удалить не может

Я профиксил при помощи hijackthis: Но данные не прикладываются что делать???

**Никита Соловьев** · 12.07.2012, 16:37

Что с проблемой?

**Виталийсв** · 13.07.2012, 01:19

нод при первом сканировании выдал 10.07.2012 17:27:37 Real-time file system protection file C:\Documents and Settings\Admin\Application Data\Gulaoq\apka.exe Win32/Spy.Zbot.YW trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred during an attempt to run the file by the application: C:\Documents and Settings\Admin\Application Data\Gulaoq\apka.exe.

при запуске эксплоэра выскакивает без адреса в строке типа http// и пустая а через 5 сек выскакивает интернет экслоэр поставщик поиска по умолчанию, интернет эксплоэр востановил поставщика поиска Bing и дальше адресс после того как нажимаеш ок, выскакивает панель Просмотри и управление интернет эксплоер

**Никита Соловьев** · 13.07.2012, 01:36

Сообщение от Виталийсв

при запуске эксплоэра выскакивает без адреса в строке типа http//

Удалите guard mail.ru и прочие элементы тулбаров.

**Виталийсв** · 13.07.2012, 15:21

Вроде удалил, комп работает щас проходит проверку нодом при удалении тулбаров я их искал через пуск/найти вылазило сообщение с/виндовс/експлоэр ехе crosoft visualc ++ runtime libraru. А так вроде все гуд!!! Что делать с паролями на почту и пароль админовский????

**Никита Соловьев** · 13.07.2012, 15:57

Сообщение от Виталийсв

Что делать с паролями на почту и пароль админовский????

Поменять на более стойкие.

**Виталийсв** · 13.07.2012, 16:23

Сообщение от Никита Соловьев

Поменять на более стойкие.

более стойкие это более сложные???????

**Никита Соловьев** · 13.07.2012, 16:24

Сообщение от Виталийсв

более стойкие это более сложные???????

Именно так.

**Виталийсв** · 13.07.2012, 17:24

спасибо, учту на будущее!!!!!!

**CyberHelper** · 14.07.2012, 17:24

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

Вирус, Operating memory » explorer.exe(1664) (заявка № 122349)

Опции темы

Вирус, Operating memory » explorer.exe(1664)

Вирус, Operating memory » explorer.exe(1664) (заявка № 122349)

пароли

Итог лечения

Похожие темы

Operating memory » winlogon.exe(576) - a variant of Win32/Spy.Zbot.JF trojan - unable to clean

Зависает система. Причина - Operating memory » explorer.exe(1004) - probably a variant of Win32/TrojanDownloader.Carberp.AH trojan

Operating memory » explorer.exe(740) - a variant of Win32/TrojanDownloader.Carberp.AF trojan - unable to clean

Operating memory - a variant of Win32/Spy.Shiz.NBW trojan - unable to clean

Internet Explorer HTML Help ActiveX Control Memory Corruption

Метки для этой темы

Ваши права в разделе