-
Junior Member
- Вес репутации
- 48
Zaberg
С недавнего времени появился у меня этот вирус. У меня 2 компа и 2 ноута. Началось все с флешки - на ХР все папки на флешке вирус то-ли скрывает, то-ли перемещает, вообщем даже зайти не выходит, на Вин 7 - видно ярлыки на папки, заходя в них открываются отдельные окна с файлами внутри. Теперь при каждой загрузке на Вин 7 у меня выскакивает окошко удаления Zaberg.exe, а чуть позже защитник виндовс находит и просит также удалить вирус, и так при каждой загрузке. Также стал периодически лагать инет и комп. Помогите избавиться от вируса. Я прикрепляю логи с компа, где установлен Вин 7. У меня также заражены и остальные компы + флешка. Посоветуйте что нужно делать в таком случае.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Wissper, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Профиксить:
Код:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Wissper\AppData\Roaming\Cwqkqm.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\Program Files\Common Files\Java\Java Update\jusched.exe','');
TerminateProcessByName('c:\windows\aadrive32.exe');
QuarantineFile('c:\windows\aadrive32.exe','');
DeleteFile('c:\windows\aadrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
DeleteFile('C:\Users\Wissper\AppData\Roaming\Cwqkqm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Cwqkqm');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Карантин прислать согласно правилам. БАЗЫ АВЗ обновить и переделать логи + сделать лог MBAM(ссылка в подписи).
-
-
Junior Member
- Вес репутации
- 48
Сделал все вышеперечисленное
-
Удалите в МВАМ только указанные строки
Код:
Зараженные папки:
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1830 (Worm.AutoRun) -> No action taken.
Зараженные файлы:
c:\Users\Wissper\AppData\Roaming\99BF.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\11F0.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\1876.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\1E8F.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\5A5F.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\7889.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\8170.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\83CF.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\87E7.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\8B3F.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\8B5D.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\9186.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\9280.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\9898.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\E6C5.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\ECCE.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\F2E7.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\F92C.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\A026.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\A034.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\A6AB.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\A729.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\A83F.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\AD70.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\ADFB.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\B452.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\C34E.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\C928.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\D96E.tmp (Trojan.Agent) -> No action taken.
c:\Users\Wissper\AppData\Roaming\DAE5.tmp (Trojan.Agent) -> No action taken.
d:\kak_nastroit_nvidia_3d_vision_video_player.exe (Trojan.Dropper) -> No action taken.
d:\RECYCLER\s-1-5-21-682003330-1409082233-1417001333-1005\Dd357.exe (Trojan.Agent.CK) -> No action taken.
d:\RECYCLER\s-1-5-21-682003330-1409082233-1417001333-1005\Dd471.exe (RiskWare.Tool.CK) -> No action taken.
g:\таня 32гб (h)\съемный 16гб-1\winamp\Plugins\Cubes.exe (Malware.Packer.Krunchy) -> No action taken.
g:\таня 32гб (h)\RECYCLER\e5188982.exe (Trojan.Menti) -> No action taken.
g:\таня 32гб (h)\RECYCLER\s-1-5-21-2214276341-3544434524-6043330-4321\update.exe (Backdoor.IRCBot.H) -> No action taken.
g:\таня 32гб (h)\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe (Trojan.Agent.H) -> No action taken.
g:\RECYCLER\e5188982.exe (Backdoor.IRCBot) -> No action taken.
g:\$RECYCLE.BIN\$RWIX9HF\ПРОГРАМЫ\everest_ultimate_edition_5.30.1900\Ключи\Keygen.exe (RiskWare.Tool.CK) -> No action taken.
g:\$RECYCLE.BIN\$RWIX9HF\съемный 16гб-1\winamp\Plugins\Cubes.exe (Malware.Packer.Krunchy) -> No action taken.
g:\$RECYCLE.BIN\$RWIX9HF\Бланки\2011\setup_dover1_0.exe (Malware.Packer.Gen) -> No action taken.
h:\RECYCLER\e5188982.exe (Backdoor.IRCBot) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1830\Desktop.ini (Worm.AutoRun) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
Удалил, а что мне делать с остальными зараженными флешками и компами?
-
Новый лог МВАМ где?
По другим компьютерам - новые темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1830\\zaberg.exe - Trojan-Dropper.Win32.Injector.acue ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Backdoor.Bot.147807, NOD32: Win32/Injector.LLD trojan, AVAST4: Win32:Kolab-PI [Trj] )
- c:\\users\\wissper\\appdata\\roaming\\cwqkqm.exe - Trojan.Win32.Menti.iwyp ( DrWEB: Trojan.Click2.7519, BitDefender: Trojan.Generic.KDV.417674, NOD32: Win32/Injector.LCJ trojan, AVAST4: Win32:Downloader-LMP [Trj] )
- c:\\windows\\aadrive32.exe - Trojan.Win32.Jorik.IRCbot.ecg ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Backdoor.Bot.147958, NOD32: Win32/Injector.LLD trojan, AVAST4: Win32:Kolab-PI [Trj] )
-