zaberg.exe

Printable View

15.01.2012, 18:56
Serg_22

Вложений: 1

zaberg.exe

[I]Здравствуйте![/I]
Прошу помочь мне с вирусом [I]zaberg.exe[/I].
Я читал в интернете про этот вирус, знаю что с помощью скрипта в AVZ от него можно избавится.*
Были и другие непонятные файлы и процессы (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ccleaner.exe например) но от них вручную я как-то избавился.

А вот снять [B][I]zaberg.exe[/I][/B] с автозагрузки никак не удается.

Прикрепляю лог.

Заранее спасибо ! :)
15.01.2012, 18:58
Info_bot

Уважаемый(ая) [B]Serg_22[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
16.01.2012, 03:27
Bratez

[B]1. Скачайте AVZ 4.37 и обновите ее базы![/B]

2. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

3. Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=115042[/url]).

4. Сделайте новые логи, все 3 по правилам.
19.01.2012, 23:15
Serg_22

Вложений: 1

Спасибо большое, эта зараза "[I][U]zaberg0.exe[/U][/I]" исчезла из автозагрузки :)
Сейчас вроде всё хорошо.

Но у меня [COLOR="#FF0000"]флешка[/COLOR] инфицирована осталась... как лучше с ней поступить? в безопасном режиме форматнуть, или можно и так её вставить, и [B]NOD Eset 32[/B] с ней и так справится? а?

Результат загрузки КАРАНТИНА:
Файл сохранён как 120119_190611_Quarantine_4f1869a31470d.zip
Размер файла 112743
MD5 7c083f024d5afeebaaa9fc37b0ccd121
20.01.2012, 10:30
Techno

!!!
[quote="Bratez;858126"]1. Скачайте AVZ 4.37 и обновите ее базы![/quote]
Переделывайте лог АВЗ!!!

[quote="Serg_22;859304"]или можно и так её вставить[/quote]
Нужно сначала отключить автозапуск со сменных носителей:
АВЗ -> меню Файл -> Мастер поиска и устранения проблем -> Пуск -> выделить нужное и нажать исправить.
27.01.2012, 01:10
Serg_22

Вложений: 3

Обновил базы, сделал вроде бы все три логи.
Прикрепил :)

Автозапуск со сменных носителей отключил.
Теперь можно вставлять флешку, и форматировать???

Хотя есть у меня опасения... там же та зараза прячется, и вдруг со флешки она опять скакнет на комп, и потом опять надо будет её ловить... Развейте пожалуйста мои сомнения))

Спасибо вам!!!!
27.01.2012, 03:53
Bratez

Активной заразы больше не видно.

Пофиксите в HijackThis:
[code]
R3 - Default URLSearchHook is missing
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZUman000
[/code]
(если ограничения для Internet Explorer делали умышленно, то строчки O6 фиксить не надо).
Кстати, рекомендуется установить IE8, даже если используете другой браузер.

Флэшку можно вставлять и форматировать, только до форматирования не открывайте ее на всякий случай. При вставке флэшки в раз"ём удерживайте клавишу Shift, на XP это блокирует автозапуск.
05.02.2012, 13:12
Serg_22

[QUOTE=Bratez;861689]
Кстати, рекомендуется установить IE8, даже если используете другой браузер.

.[/QUOTE]
а можно поинтересоваться почему такая рекомендация? Internet Explorer - это же ещё та болячка :D

Спасибо огромное всем за помощь!
05.02.2012, 14:48
Bratez

[quote="Serg_22;864697"]Internet Explorer - это же ещё та болячка[/quote]
Именно поэтому рекомендуется поставить наиболее свежую версию, дабы минимизировать риски 8)
06.02.2012, 14:48
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\14.exe - [B]Trojan.Win32.Menti.krkb[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.51637, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:FakeAlert-BVT [Trj] )[*] c:\\windows\\system32\\32.exe - [B]Trojan.Win32.Menti.krkb[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.51637, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:FakeAlert-BVT [Trj] )[*] c:\\windows\\system32\\34.exe - [B]Trojan.Win32.Menti.krkb[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.51637, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:FakeAlert-BVT [Trj] )[*] c:\\windows\\system32\\63.exe - [B]Trojan.Win32.Menti.krkb[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.51637, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:FakeAlert-BVT [Trj] )[*] c:\\windows\\system32\\72.exe - [B]Trojan.Win32.Menti.krkb[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.51637, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:FakeAlert-BVT [Trj] )[/LIST][/LIST]