win32.zbot.ikh и portmap.exe в автозагрузке

**MamonI** · 18.09.2009, 22:36

Добрый вечер!
При старте системы появляется окно на весь экран с сообщением о том что компьютер инфицирован ....spy.win32.zbot.ikh и предложением отправить смс для получения пароля на лечение!
В безопасном режиме программа Dr. Web CureIt нашла файл Portmap.exe, но удалить его не смогла - переместила в карантин (я так понял). После этого при запуске системы окно больше не появляется, но в автозагрузке осталась ссылка на этот файл. Попытки отключить автозагрузку приводят в восстановлению файла portmap.exe и появлению сообщения при запуске.
В общем прошу помощи избавится от этой заразы! За ранее спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**AndreyKa** · 18.09.2009, 22:57

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 QuarantineFile('C:\WINDOWS\system32\portmap.exe','');
 DeleteFile('C:\WINDOWS\system32\portmap.exe');
DeleteFile('C:\Documents and Settings\Ваня\Главное меню\Программы\Автозагрузка\Quick Office.lnk');
 BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

**MamonI** · 18.09.2009, 23:14

Карантин у меня пуст. Выкладываю только лог!

**AndreyKa** · 18.09.2009, 23:22

Чисто.

**MamonI** · 19.09.2009, 11:09

Да вирус похоже удален, но смущают следующие моменты:
1. Если выполнить команду msconfig и перейти на вкладку "Автозагрузка", то там можно увидеть 2 строчки (без галочек) с ссылкой на все тот же файл portmap.exe.
2. При старте системы не запускаются Nod 32 и Outpost, хотя в автозагрузке обе программы отмечены. Переустановка этих программ не помогла.
Может это с вирусом и не связанно, но решил уточнить у Вас. За ранее спасибо за внимание!

**AndreyKa** · 19.09.2009, 11:27

1. msconfig показывает ранее отключенный автозапуск для того, чтобы можно было его вернуть обратно. Не опасно.
2. Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:

Код:

begin
 ClearQuarantine;
 ExecuteRepair(6);
RebootWindows(true);
end.

Компьютер перезагрузится.
Если не заработало, делайте новые логи.

**MamonI** · 19.09.2009, 11:35

Заработало! Спасибо огромное!

**AndreyKa** · 19.09.2009, 11:48

Для "спасибо" спецкнопка есть:

win32.zbot.ikh и portmap.exe в автозагрузке (заявка № 55076)

Опции темы

win32.zbot.ikh и portmap.exe в автозагрузке

Похожие темы

На ноутбуке были Backdoor.Win32.Stapome.c, Trojan-Spy.Win32.Zbot.gen и т.д.

Не обновляем avast! Начинает ошибочно ловить Win32:Delf-MZG [Trj] и Win32:Zbot-MKK [Trj]

Не обновляем avast! Начинает ошибочно ловить Win32:Delf-MZG [Trj] и Win32:Zbot-MKK [Trj]

Притомаживает комп. При проверке нашлись Win32:Agent-YHH, Win32:Zbot-OE, Win32:Rootkit-gen, Win32:Trojan-gen

'Trojan-Spy.Win32.Zbot.mgs' 'Backdoor.Win32.Agent.zhy'

Ваши права в разделе