ZABERG.EXE, 1,2,3,4,....exe Файлы

Вкратце: после использование зараженной, по видимому результату, флэшки начинают появляются такие файлы как: zaberg.exe, 1,2,3,4....exe, запускаются всякие темпы(.tmp), не удаляются ничем.

Уважаемый(ая) [B]botuy123[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\sadrive32.exe');
QuarantineFile('C:\WINDOWS\system32\87.exe','');
QuarantineFile('C:\WINDOWS\system32\72.exe','');
QuarantineFile('C:\WINDOWS\system32\65.exe','');
QuarantineFile('C:\WINDOWS\system32\50.exe','');
QuarantineFile('C:\WINDOWS\system32\46.exe','');
QuarantineFile('C:\WINDOWS\system32\42.exe','');
QuarantineFile('C:\WINDOWS\system32\35.exe','');
QuarantineFile('C:\WINDOWS\system32\21.exe','');
QuarantineFile('C:\WINDOWS\system32\20.exe','');
QuarantineFile('C:\WINDOWS\system32\17.exe','');
QuarantineFile('C:\WINDOWS\system32\07.exe','');
QuarantineFile('C:\WINDOWS\system32\02.exe','');
QuarantineFile('C:\WINDOWS\system32\01.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Rqsysp.exe','');
QuarantineFile('c:\windows\sadrive32.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Rqsysp.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
DeleteFile('C:\WINDOWS\sadrive32.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
DeleteFile('C:\WINDOWS\system32\01.exe');
DeleteFile('C:\WINDOWS\system32\02.exe');
DeleteFile('C:\WINDOWS\system32\07.exe');
DeleteFile('C:\WINDOWS\system32\17.exe');
DeleteFile('C:\WINDOWS\system32\20.exe');
DeleteFile('C:\WINDOWS\system32\21.exe');
DeleteFile('C:\WINDOWS\system32\35.exe');
DeleteFile('C:\WINDOWS\system32\42.exe');
DeleteFile('C:\WINDOWS\system32\46.exe');
DeleteFile('C:\WINDOWS\system32\50.exe');
DeleteFile('C:\WINDOWS\system32\65.exe');
DeleteFile('C:\WINDOWS\system32\72.exe');
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
RegKeyIntParamWrite('HKCU', 'ControlPanel\Desktop', 'HungAppTimeout', 5000);
RegKeyIntParamWrite('HKCU', 'ControlPanel\Desktop', 'WaitToKillAppTimeout', 20000);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]

+ Откройте файл [url=http://df.ru/~kad/ScanVuln.txt][B]ScanVuln.txt[/B][/url]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Лог AVZ старый прикрепили,
[quote="regist;881882"]+ Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.[/quote]
это вы так и не выполнили, а без этого вы никогда не вылечитесь вирус будет вас заражать снова и снова. В обязательном порядке установите срочно все [url=http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru][B]новые обновления[/B][/url] для Windows.

[url=http://virusinfo.info/showpost.php?p=457118&postcount=1]Удалите всё найденное в MBAM [/url]

повторите логи.

вот логи после всего выполненого

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\sadrive32.exe');
QuarantineFile('c:\windows\sadrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\33.exe','');
QuarantineFile('C:\WINDOWS\system32\74.exe','');
QuarantineFile('C:\WINDOWS\system32\75.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
DeleteFile('c:\windows\sadrive32.exe');
DeleteFile('C:\WINDOWS\system32\33.exe');
DeleteFile('C:\WINDOWS\system32\74.exe');
DeleteFile('C:\WINDOWS\system32\75.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
RegKeyIntParamWrite('HKCU', 'ControlPanel\Desktop', 'HungAppTimeout', 5000);
RegKeyIntParamWrite('HKCU', 'ControlPanel\Desktop', 'WaitToKillAppTimeout', 20000);
ExecuteWizard('SCU',2,2,true);
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
[B]
Уставите все обновления windows и устраните все уязвимости ![/B]

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

+ лог полного сканирования MBAM.

Благодарен, очень помогли, спасли прямо.Пока в системе ничего незамечено.

Установите [url=http://www.microsoft.com/rus/windows/internet-explorer/default.aspx][B]Internet Explorer 8[/B][/url] (даже если им не пользуетесь).

Устраните и остальные все уязвимости скрипт для поиска давал выше.
+ Все новые обновления для виндоус, а то велика вероятность что в скором времени червь вернётся.

+ Проведите процедуру, которая описана в первом сообщении [url=http://virusinfo.info/showthread.php?t=3519][B]тут[/B][/url]. Результат загрузки напишите в сообщении здесь.

И деинсталируйте MBAM.

Здравствуйте.
Той проблемы которая была описана выше, уже нету, появилась новая.
Симптомы: Диспетчер задач не вызывается
ВинРар не вызывается
regedit не вызывается
AVZ не вызывается
MBAM его не видит
Восстановление системы не работает.
+ ко всему этому жутко тормозит копм

логи может сделать?

MBAM сканирует, но ничего не обнаруживает, HijackThis - не запускается
Сейчас просканирую полностью и пришлю

попробуйте сделать логи полиморфным AVZ из моей подписи.

Лог MBAM чуть позже, проблемы свои.

Вот MBAM

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\svchost.exe','');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('PowerManager');
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

- Повторите логи АВЗ.

После выполнения скрипта ничего, на мой взгляд, не изменилось.

В командной строке со вставленным диском дистрибутива Вашей системы:
[CODE]sfc /scannow[/CODE]

Если чем-то поможет, то вот MBAM фулл ЛОГ
"sfc /scannow" ничего не показало.

Файлы есть такие? Попробуйте их запустить.
[CODE]C:\windows\system32\taskmgr.exe
C:\windows\regedit.exe[/CODE]


- [URL="http://virusinfo.info/showthread.php?t=49691&highlight=RSIT"]Сделайте лог RSIT[/URL]

Файлы есть, но при запуске ничего не происходит.Ниподвисаний, ничего.

[quote="botuy123;882778"]Файлы есть, но при запуске ничего не происходит.Ниподвисаний, ничего.[/quote]
Дайте-ка я на них погляжу:)

Выполните в АВЗ:
[CODE]begin
ClearQuarantine;
QuarantineFile('C:\windows\system32\taskmgr.exe','');
QuarantineFile('C:\windows\regedit.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]


Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

Я полазил по компу, инету. Возможно ошибаюсь, но мне кажется я не админ компа. Я проверил - нажал "Пуск">"Выход из системы">"Сменить пользователя" и мне выбило табличку: не помню точно, но что-то типа "Введите пароль для входа в виндовс".Я комп ребутнул и он загрузился нормально.Но при запуске программ мне НЕ пишет "Доступ запрещён администратором", а пишет: "Программа выполнена частично".

В безопасном режиме попробуйте...

Безрезультатно.

А если создать нового пользователя с правами администратора?

Создание нового пользователя ничего не дало.
Начал появлятся новый файл "Dc14.exe" который MBAM распознаёт как вирус

- [URL="http://virusinfo.info/showthread.php?t=58309"]Сделайте лог ComboFix[/URL].

Заработал hijackthis.exe каким-то странным образом. Вот безопасный [url="http://s019.radikal.ru/i632/1204/ce/fa4817e91714.jpg"]скрин[/url] .

Накатите [URL="http://windows.microsoft.com/ru-RU/windows/help/learn-how-to-install-windows-xp-service-pack-3-sp3"]SP3[/URL] ([COLOR="#FF0000"]может потребоваться активация[/COLOR])

У меня 3 СП стоит.Ещё даже на диске с виндой.

Я в курсе, накатите еще раз.

Свершилось! Диспетчер задач, Реестер и прочии стандатные программы работают.НО! Программы установленные пользователем - мною - большинство нерабочие, в том числе и АВЗ хиджакзиз, и ещё МБАМ всё ещё блокирует достут к каким-то IP.

[quote="botuy123;883272"]МБАМ всё ещё блокирует достут к каким-то IP.[/quote]
На это не обращайте внимания.

[size="1"][color="#666686"][B][I]Добавлено через 26 секунд[/I][/B][/color][/size]

- [URL="http://virusinfo.info/showthread.php?t=58309&p=500136&viewfull=1#post500136"]Удалите ComboFix[/URL]

А что делать с теми приложениями, которые не запускаются?

Наверное, только переустанавливать

[QUOTE=Techno;883300]Наверное, только переустанавливать[/QUOTE]
Я решил не "париться" и переустановить весь виндовс. Как только установил, накатил, на уже имеющийся SP3, все последние обновления. Проверил, вирусов как бы и нету, но проблемы с подключением интернета. При включении, компьютер не обнаруживает кабеля в сетевой плате. Хотя он исправен и корректно подключен. У меня такое же было в ходе лечения того, что в теме написано ранее.После того как вы прописали мне скрипт в АВЗ проблема с кабелем пропала, сейчас же, после переустановки виндос, кабель не обнаруживается. Спасаюсь тем, что выдёргиваю кабель на 5 секунд и обратно, тогда подключение происодит. Если вам сделать все логи, поможете с этой траблой?

Сделайте, посмотрим.

Вот, свежие.

Ничего необычного не увидел.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]60[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\администратор\\application data\\rqsysp.exe - [B]Trojan-Dropper.Win32.Dapato.atze[/B] ( DrWEB: Trojan.Inject1.99, BitDefender: Trojan.Generic.KDV.590624, AVAST4: Win32:Injector-AOF [Trj] )[*] c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\ecleaner.exe - [B]Trojan.Win32.Yakes.zzy[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.590324, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:AutoRun-CTQ [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1830\\zaberg.exe - [B]Trojan-Dropper.Win32.Injector.ecfw[/B] ( DrWEB: Trojan.Packed.22433, BitDefender: Trojan.Generic.KDV.590117, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Downloader-NUP [Trj] )[*] c:\\windows\\sadrive32.exe - [B]Trojan.Win32.Yakes.aaad[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KDV.590742, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Downloader-NUP [Trj] )[*] c:\\windows\\system32\\01.exe - [B]Trojan.Win32.Yakes.zzy[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.590324, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:AutoRun-CTQ [Trj] )[*] c:\\windows\\system32\\02.exe - [B]Trojan.Win32.Yakes.zzy[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.590324, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:AutoRun-CTQ [Trj] )[*] c:\\windows\\system32\\07.exe - [B]Trojan.Win32.Yakes.zzy[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.590324, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:AutoRun-CTQ [Trj] )[*] c:\\windows\\system32\\20.exe - [B]Trojan.Win32.Yakes.zzy[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.590324, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:AutoRun-CTQ [Trj] )[*] c:\\windows\\system32\\21.exe - [B]Trojan.Win32.Yakes.zzy[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.590324, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:AutoRun-CTQ [Trj] )[*] c:\\windows\\system32\\72.exe - [B]Trojan.Win32.Yakes.zzy[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.590324, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:AutoRun-CTQ [Trj] )[/LIST][/LIST]