Троян называющий себя Trojan-Spy.Win32.Zbot.ikh блокирующий систему и требующий послать смс.
Блокирует диспетчер задач и не лечится антивирусами.
Прошу помочь! Спасибо.
Троян называющий себя Trojan-Spy.Win32.Zbot.ikh блокирующий систему и требующий послать смс.
Блокирует диспетчер задач и не лечится антивирусами.
Прошу помочь! Спасибо.
1. Профиксите в HijackThis как "профиксить в HiJackThis"
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.Код:F2 - REG:system.ini: Shell=Explorer.exe O4 - HKLM\..\Run: [portmap.exe] C:\WINDOWS\system32\portmap.exe O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\system32\portmap.exe
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!!как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\userinit.exe',''); QuarantineFile('C:\WINDOWS\system32\portmap.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys',''); DeleteService('synsend'); StopService('synsend'); DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys'); DeleteFile('C:\WINDOWS\system32\portmap.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','1'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','portmap.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(11); ExecuteRepair(8); ExecuteRepair(17); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Если это действительно был Zbot, то пришла пора менять пароли.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасибо, проблема с трояном вроде бы решилась.
Из оставшихся проблем:
1) при загрузке система пытается найти файл portmap.exe и предлагает убрать ссылку на него в реестре.
2) диспетчер задач так и заблокирован.
3) компьютер программно не выключается и не перезагружается (только аппартано кнопкой power)
Возможно ли с этим что то сделать? Спасибо.
Логи в нормальном режиме можно сделать?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вчера вирус не проявлялся, (я правда не перезагружал комп после благополучного излечения,) однако сегодня при попытки создать новые логи в нормальном режиме, снова выскочил троян по виду тот же но с другим номером 7122 для смс и текстом 70533 9637.
Новые логи снова сделанны в безопасном режиме. Спасибо.
1. Профиксите в HijackThis как "профиксить в HiJackThis"
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.Код:O4 - HKLM\..\Run: [portmap.exe] C:\WINDOWS\system32\portmap.exe O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\system32\portmap.exe
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetAVZPMStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); StopService('synsend'); DeleteService('synsend'); DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys'); DeleteFile('C:\WINDOWS\system32\portmap.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','1'); BC_ImportAll; BC_DeleteSvc('synsend'); ExecuteSysClean; BC_DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys'); BC_DeleteFile('C:\WINDOWS\system32\portmap.exe'); BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Последний раз редактировалось PavelA; 27.02.2010 в 09:50.
Все сделал, троян вроде пропал,
вышеописанные проблемы пока остались.
Выполнить скрипт6
Повторить логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('\??\C:\WINDOWS\system32\drivers\ckkrxz.sys'); DeleteFile('\Device\HarddiskVolume2\DOCUME~1\LiPa\LOCALS~1\Temp\RarSFX0\2f3dlxp.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасибо, все зараработало, кроме Диспетчера задач который по прежнему отключен администратором)
Логи повторите. Старые прикрепили.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) K132ai, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.