Здравствуйте! Помогите найти и удалить заразу. Вчера заразился. Сиситема Win XP. При загрузки на несколько секунд появляется командное окно пустое. Далее Нод находит Вирус в Зараженных процессах Yebot.AB. Пример: "06.02.2015 11:46:48 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = alg.exe(3424) модифицированный Win32/Yebot.AB троянская программа очищен удалением"
В папке system32 тоже появляеются файлы
hNZClgI.exe
(WwYNcyl.exe)
(XHgXCAx.exe)
wpa.dbl
nvAppTimestamps
Не знаю имеют ли они отношение к вирусу или нет, скорее да. при удалении исполняемого файла появляется снова но с другим именем - другой набор букв. В ветке реестра в Run этот файл тоже прописывается. Помогите, пожалуйста, найти источник заражения.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Neonon, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\Evdok\Local Settings\Temp\3fe74.exe','');
QuarantineFile('c:\documents and settings\evdok\8209230.exe','');
DeleteFile('c:\documents and settings\evdok\8209230.exe','32');
DeleteFile('C:\Documents and Settings\Evdok\Local Settings\Temp\3fe74.exe','32');
DeleteFile('C:\WINDOWS\Tasks\y2ej534.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Вирус на месте. При загрузке вроде в командном окне удалось мельком разглядеть путь и файл "C:\WINDOWS\system32\hNZClgI.exe". Но при удалении он появляется снова и с другим именем, что его создает и откуда хотелось бы выяснить. процессы так же заражаются Yebot
Еще. Так как описанный файл постоянно создается при удалении под другим именем Nod постоянно ругает удаляет с таким сообщением:
C:\WINDOWS\system32\ZfDbnAV.exe - модифицированный Win32/Injector.BQRG троянская программа
Последний раз редактировалось Neonon; 06.02.2015 в 16:37.
Загрузите SecurityCheck by glax24отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: