Здравствуйте, помогите убить вирус zaberg.exe, asdrive32.exe. Сделал логи через AVZ и HiJackThis.
Printable View
Здравствуйте, помогите убить вирус zaberg.exe, asdrive32.exe. Сделал логи через AVZ и HiJackThis.
Уважаемый(ая) [B]Jukero[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code] begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\system32\proxysvc32.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe','');
QuarantineFile('C:\WINDOWS\sadrive32.exe','');
QuarantineFile('C:\StrajUSB.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Jpeket.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Jpeket.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Jpeket');
DeleteFile('C:\WINDOWS\sadrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
DeleteFile('C:\WINDOWS\system32\proxysvc32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[b][color="#FF0000"]Внимание![/color][/b] Официальная поддержка (и выпуск обновлений) для Windows XP SP2 [B]прекращена[/B]
Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Сделайте лог [url="http://virusinfo.info/showthread.php?t=40118"]gmer[/url]
Сделал новые логи и отправил запрошенные файлы на карантин
Установку обноалений проигнорировали? Тогда ждать повторного появления заразы осталось недолго
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] все, [b]кроме[/b] [code]HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.[/code]
1. Откройте [b]Блокнот[/b] и скопируйте в него текст скрипта
[CODE]gw5rzc8b.exe -del service niupb
gw5rzc8b.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\niupb"
gw5rzc8b.exe -reboot[/CODE]2. Нажмите [b]Файл[/b] - [b]Сохранить как[/b]
3. Выберите папку, в которую сохранили [b]gw5rzc8b.exe[/b] (gmer)
4. Укажите [b]Тип файла[/b] - [/b]Все файлы (*.*)[/b]
5. Введите имя файла [b]cleanup.bat[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите [b]cleanup.bat[/b]
[color="red"][b]ВНИМАНИЕ:[/b][/color] Компьютер перезагрузится!!!
Сделайте новый лог gmer
Вроде все сделал, zaberg и sadrive32 вроде не проявляют активность. Сделал лог после лечения в gmer. Но появилась проблема с подключением к интернет. Когда подключаю соединение все работает отлично, но через некоторое время вываливается ошибка "Generic Host Process for Win32 Services- обнаружена ошибка. Приложение будет закрыто" и подключение запускается теперь только после перезагрузки компа. На счет обновления не проигнорировал, просто хочется сначала заразу эту убить, а то порядком достала :)
[quote="thyrex;881243"]Установку обновлений проигнорировали? Тогда ждать повторного появления заразы осталось недолго[/quote]Пока не выполнить установку обновлений, картина не изменится
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\администратор\\application data\\jpeket.exe - [B]Trojan.Win32.Yakes.zvv[/B] ( DrWEB: Trojan.Inject1.99, BitDefender: Trojan.Generic.KDV.586283, AVAST4: Win32:Kryptik-IGG [Trj] )[*] c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\ecleaner.exe - [B]Trojan.Win32.Yakes.zvu[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.585377, AVAST4: Win32:Kryptik-IGG [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1830\\zaberg.exe - [B]Packed.Win32.TDSS.aa[/B] ( DrWEB: BackDoor.Siggen.637, BitDefender: Trojan.Generic.7438653, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Kryptik-IHA [Trj] )[*] c:\\windows\\sadrive32.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.586055, AVAST4: Win32:Kryptik-IGG [Trj] )[/LIST][/LIST]