Выкорчевать Trojan-Spy.Win32Zbot.wsu или BackDoor.Posion.767

[Asmud]

Касперский нашол вирус Trojan-Spy.Win32Zbot.wsu в папке c:\windows\system32\sdra64.exe удаляет перезагружаеться и снова его находит. Обновил базы просканировал весь компьютер KIS в обычном режиме опять его находит удалить не может. Проверил Dr.Web CureIt! в защищёном режиме нашол BackDoor.Posion.767 в папке c:\windows\system32\sdra64.exe так же удалил после перезагрузки опять появился.

Вобщем или два вируса инфицировали один и тотже файл или енто и есть вирус только у Dr.Web и у Касперского разные имина для ентого вируса.

Да нашол ещё забавный вирус проктически безвредный если знать как отключить, просит отправить sms для активации Windos . Касперский и Dr.Web его пропускают. Куда можно его отослать для опытов ?

[Wild Spirit]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление!!!

- Пофиксите в HijackThis

Код:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,

- Выполните скрипт

Код:

begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportALL;
ExecuteSysClean;
SysCleanAddFile('appmgmts.dll');
SysCleanAddFile('msansspc.dll');
SysCleanAddFile('svchoste.exe');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Удалите Bonjour.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте новый лог virusinfo_syscheck.zip (пункт 2 Правил, раздел Диагностика).
- Закачайте карантин по ссылке Прислать запрошенный карантин (http://virusinfo.info/upload_virus.php?tid=48380) вверху темы (Приложение 3 правил).
- Сделайте лог GMER.
- Прикрепите логи к новому сообщению.

[Asmud]

У Tito кстате тот же вирус, что я нашол :о) может он тоже как то вредничает вот в ентом топике http://virusinfo.info/showthread.php?t=48373

[pig]

Не отвлекайтесь. Каждому своё лекарство выпишут.

[Asmud]

Извеняюсь за задержку. Пока Gmer проводил сканирование уснул :о)
Касперский при загрузки продолжает находить Trojan-Spy.Win32Zbot.wsu

Файл сохранён как 090621_114658_virus_4a3de57296ec4.zip
Размер файла 45634
MD5 c6e64b38455fb47a15afbf3b8329d26c

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('msansspc.dll','');
 QuarantineFile('svchoste.exe','');
 DeleteFile('svchoste.exe');
 DeleteFile('msansspc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи (только те, что в правилах)

[Asmud]

Касперский при загрузки продолжает находить Trojan-Spy.Win32Zbot.wsu

Файл сохранён как 090621_145817_virus_4a3e124906a31.zip
Размер файла 46132
MD5 1fe74581789c31858a58b8d34429b35e

[thyrex]

Сделайте логи полиморфным AVZ. Перед созданием логов включить AVZPM

[Asmud]

Касперский при загрузки продолжает находить Trojan-Spy.Win32Zbot.wsu

[Wild Spirit]

Вас просили сделать лог в полиморфном AVZ с включенным AVZPM, а не лог GMER.

Добавлено через 43 секунды

А в логе GMER все чисто

[Asmud]

:о) хм ... а что антивири тогда надрываються ? притом у меня прямо на столе лежит вирус с обрезанными лапками они его не детектят ....

Хм сорри почемуто показалось что Полиморфный AVZ это и есть Gmer так как скачал толи у вас толи у thyrex ссылке в приписке имено его, AVZPM включил как было сказано в инсрукции только без скрипта ... хотя вроде перезагружал ПК щас сделаю всё снова.

[Wild Spirit]

Еще раз... Сделайте лог в полиморфном AVZ с включенным AVZPM.
Полиморфный AVZ Вы можете скачать у меня в подписи.

[Asmud]

Хорошо щас сменю ip-только Депозит просит 30 мин подождать.

[thyrex]

показалось что Полиморфный AVZ это и есть Gmer так как скачал ... толи у thyrex ссылке в приписке

Может Вы мою подпись с чьей-нибудь еще перепутали Делайте логи

[Asmud]

To Wild Spirit 777.htm ? :о) хм ... на качалке называеться 777.pif ... уф еле дошло переиминовать :о)
To thyrex game.htm ? :о) когда скачивал помнил что на g... начинаеться ожидал увидеть или архив или exe ну и когда скачался увидел скачаный до ентого GMER ну и подумал что оно :о) на hml файл внимание необратил :о) пиношу свои извинения.

Вроде нашол изменения кстате есть, открылся доступ к удалённому рабочему столу до ентого блокировался.

[thyrex]

Нет в логах ничего подозрительного...
В каком файле находит вирус?

[Asmud]

Файл был в папке c:\windows\system32\
в файле sdra64.exe
Скорее всего был в карантне Касперского поентому его и небыло видно после перезагрузки толи выличил, толи удалил. В папке c:\windows\system32\ такого файла больше нет.
Касперский и Доктор вэб молчат.

[thyrex]

Этот файл был удален после первого же скрипта
Скорее всего у Вас появлялось уведомление по результатам предыдущих проверок

А Вас можно выписывать
С рекомендациями:
1. Установите Internet Explorer 8
2. Установите Adobe Acrobat 9.1 или удалите старый

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 8
• В ходе лечения вредоносные программы в карантинах не обнаружены