При запуске системы нод 32 находит такой вирус 10.07.2012 16:48:07 Startup scanner file Operating memory » explorer.exe(1664) a variant of Win32/Spy.Zbot.ZR trojan unable to clean но удалить не может
Printable View
При запуске системы нод 32 находит такой вирус 10.07.2012 16:48:07 Startup scanner file Operating memory » explorer.exe(1664) a variant of Win32/Spy.Zbot.ZR trojan unable to clean но удалить не может
Уважаемый(ая) [B]Виталийсв[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[URL="http://virusinfo.info/showthread.php?t=4491"][B]Пофиксите при помощи hijackthis:[/B][/URL]
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,D:\Temp\wpbt0.dll,[/CODE]
[B][URL=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ:[/URL][/B]
[CODE]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('D:\Temp\wpbt0.dll','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\qdclo.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\lwtwfl.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Gulaoq\apka.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Gulaoq\apka.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{8070E044-5D03-78FC-6C9D-0D8E1CF060C0}');
DeleteFile('C:\Documents and Settings\Admin\Application Data\lwtwfl.exe');
DeleteFile('D:\Temp\wpbt0.dll');
DeleteFile('C:\Documents and Settings\Admin\Application Data\qdclo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FlashPlayerUpdate');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
DeleteFileMask('D:\Temp','*.*',true);
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\Gulaoq','*.*',true);
DeleteDirectory('D:\Temp');
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\Gulaoq');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Файл [B]quarantine.zip[/B] пришлите нам, используя ссылку [B]"прислать запрошенный карантин"[/B] над первым сообщением в этой теме.
Повторите действия, указанные в правилах. Прикрепите новые отчеты AVZ/hijackthis.
+ это: [url]http://virusinfo.info/showthread.php?t=115256[/url]
При запуске системы нод 32 находит такой вирус 10.07.2012 16:48:07 Startup scanner file Operating memory » explorer.exe(1664) a variant of Win32/Spy.Zbot.ZR trojan unable to clean но удалить не может
Я профиксил при помощи hijackthis: Но данные не прикладываются что делать???
Что с проблемой?
нод при первом сканировании выдал 10.07.2012 17:27:37 Real-time file system protection file C:\Documents and Settings\Admin\Application Data\Gulaoq\apka.exe Win32/Spy.Zbot.YW trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred during an attempt to run the file by the application: C:\Documents and Settings\Admin\Application Data\Gulaoq\apka.exe.
при запуске эксплоэра выскакивает без адреса в строке типа http// и пустая а через 5 сек выскакивает интернет экслоэр поставщик поиска по умолчанию, интернет эксплоэр востановил поставщика поиска Bing и дальше адресс после того как нажимаеш ок, выскакивает панель Просмотри и управление интернет эксплоер
[quote="Виталийсв;901840"]при запуске эксплоэра выскакивает без адреса в строке типа http//[/quote]
Удалите guard mail.ru и прочие элементы тулбаров.
Вроде удалил, комп работает щас проходит проверку нодом при удалении тулбаров я их искал через пуск/найти вылазило сообщение с/виндовс/експлоэр ехе crosoft visualc ++ runtime libraru. А так вроде все гуд!!! Что делать с паролями на почту и пароль админовский????
[quote="Виталийсв;901940"]Что делать с паролями на почту и пароль админовский????[/quote]
Поменять на более стойкие.
[QUOTE=Никита Соловьев;901949]Поменять на более стойкие.[/QUOTE]
более стойкие это более сложные???????
[quote="Виталийсв;901962"]более стойкие это более сложные???????[/quote]
Именно так.
спасибо, учту на будущее!!!!!!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]