Троян Yebot.AB

Здравствуйте! Помогите найти и удалить заразу. Вчера заразился. Сиситема Win XP. При загрузки на несколько секунд появляется командное окно пустое. Далее Нод находит Вирус в Зараженных процессах Yebot.AB. Пример: "06.02.2015 11:46:48 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = alg.exe(3424) модифицированный Win32/Yebot.AB троянская программа очищен удалением"
В папке system32 тоже появляеются файлы
hNZClgI.exe
(WwYNcyl.exe)
(XHgXCAx.exe)
wpa.dbl
nvAppTimestamps
Не знаю имеют ли они отношение к вирусу или нет, скорее да. при удалении исполняемого файла появляется снова но с другим именем - другой набор букв. В ветке реестра в Run этот файл тоже прописывается. Помогите, пожалуйста, найти источник заражения.

Уважаемый(ая) [B]Neonon[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url]http://virusinfo.info/pravila.html[/url]

запрошенные логи

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\Evdok\Local Settings\Temp\3fe74.exe','');
QuarantineFile('c:\documents and settings\evdok\8209230.exe','');
DeleteFile('c:\documents and settings\evdok\8209230.exe','32');
DeleteFile('C:\Documents and Settings\Evdok\Local Settings\Temp\3fe74.exe','32');
DeleteFile('C:\WINDOWS\Tasks\y2ej534.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Вирус на месте. При загрузке вроде в командном окне удалось мельком разглядеть путь и файл "C:\WINDOWS\system32\hNZClgI.exe". Но при удалении он появляется снова и с другим именем, что его создает и откуда хотелось бы выяснить. процессы так же заражаются Yebot

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]

Еще. Так как описанный файл постоянно создается при удалении под другим именем Nod постоянно ругает удаляет с таким сообщением:
C:\WINDOWS\system32\ZfDbnAV.exe - модифицированный Win32/Injector.BQRG троянская программа

Лог МВАМ делайте, а не флудите

лог malware

C:\WINDOWS\Temp\Sound.exe удалите

Спасибо большое! Пока вроде помогло, после перезагрузки перестал образовываться вирусный файл. Посмотрю, что будет при новом включении.

[LIST][*]Загрузите [B]SecurityCheck by glax24[/B] [URL="http://virusinfo.info/soft/tool.php?tool=SecurityCheck"]отсюда[/URL] и сохраните утилиту на [I]Рабочем столе[/I][*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7[/I])[*]Если увидите [U]предупреждение от вашего фаервола[/U] относительно программы SecurityCheck, не блокируйте ее работу.[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B];[*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*][/LIST]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]