Показано с 1 по 17 из 17.

Trojan-Spy.Win32.ZBot.a. Антивирус и утилиты удалить не могут (заявка № 185466)

  1. #1
    Junior Member Репутация
    Регистрация
    04.04.2008
    Адрес
    Россия
    Сообщений
    22
    Вес репутации
    36

    Trojan-Spy.Win32.ZBot.a. Антивирус и утилиты удалить не могут

    Здравствуйте.

    Антивирусом Касперского в памяти обнаружен Trojan-Spy.Win32.ZBot.a
    После нажатия Лечить троян из памяти удаляется,
    но после перезагрузки компьютера появляется снова.

    Утилита от Касперского ZbotKiller, AVZ4, GMER, Malwarebytes Anti-Rootkit и т.д.
    ничего на диске не находят.

    Отчёты прикреплены.

    Отчёт LOG1.zip - это отчёт после удаления вируса Касперским, но до перезагрузки
    (то есть когда вируса в пямяти скорее всего нет)

    Отчёт LOG2.zip - это отчёт после перезагрузки, повторного обнаружения вируса,
    и нажатия кнопки в антивирусе Пропустить (не лечить).
    То есть вирус скорее всего в памяти.
    Вложения Вложения
    • Тип файла: zip LOG2.zip (102.2 Кб, 1 просмотров)
    • Тип файла: zip LOG1.zip (108.1 Кб, 1 просмотров)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) User 25, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,320
    Вес репутации
    1028
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  5. #4
    Junior Member Репутация
    Регистрация
    04.04.2008
    Адрес
    Россия
    Сообщений
    22
    Вес репутации
    36
    Отчёты Farbar Recovery Scan Tool
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,320
    Вес репутации
    1028
    ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      CloseProcesses:
      2015-06-11 10:48 - 2015-06-18 14:38 - 0000093 _____ () C:\Users\LocalUser2\AppData\Roaming\sp_data.sys
      2014-07-25 21:02 - 2014-07-25 21:02 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
      2014-04-23 16:13 - 2012-09-07 21:40 - 0000256 _____ () C:\ProgramData\SetStretch.cmd
      2014-04-23 16:13 - 2009-07-22 20:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe
      2014-04-23 16:13 - 2012-09-07 21:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS
      AlternateDataStreams: C:\ProgramData\TEMP:07BF512B
      AlternateDataStreams: C:\Users\User\OneDrive:ms-properties
      AlternateDataStreams: C:\Users\User\Desktop\FRST64.exe:$CmdTcID
      AlternateDataStreams: C:\Users\User\Desktop\FRST64.exe:$CmdZnID
      AlternateDataStreams: C:\Users\User\Desktop\image1 (1).JPG:$CmdZnID
      AlternateDataStreams: C:\Users\User\Desktop\image1 (2).JPG:$CmdZnID
      AlternateDataStreams: C:\Users\User\Desktop\image1.JPG:$CmdZnID
      AlternateDataStreams: C:\Users\User\Desktop\image2 (1).JPG:$CmdZnID
      AlternateDataStreams: C:\Users\User\Desktop\image2 (2).JPG:$CmdZnID
      AlternateDataStreams: C:\Users\User\Desktop\image2 (3).JPG:$CmdZnID
      AlternateDataStreams: C:\Users\User\Desktop\image2.JPG:$CmdZnID
      EmptyTemp:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  7. #6
    Junior Member Репутация
    Регистрация
    04.04.2008
    Адрес
    Россия
    Сообщений
    22
    Вес репутации
    36
    Лог-файл (Fixlog.txt)
    Вложения Вложения

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,320
    Вес репутации
    1028
    Что с проблемой?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  9. #8
    Junior Member Репутация
    Регистрация
    04.04.2008
    Адрес
    Россия
    Сообщений
    22
    Вес репутации
    36
    После перезагрузки и сканирования программой Kaspersky Virus Removal Tool
    троян опять обнаруживается в памяти.

    Sc4.png

    Если нажать Лечить, то троян удаляется и при повторном сканировании не находится.
    Но после перезагрузки и сканирования опять находится в памяти.

    Как будто это только части трояна.

    Жаль, что Kaspersky Virus Removal Tool не пишет имени процесса
    (ни в сообщении, ни в отчёте сканирования)

    Предположительно троян может распространяться по физической локальной сети,
    так как после первого его обнаружения и сканирования на всех компьютерах,
    он был найден на всех компьютерах локальной сети.

    Но при отключении от локальной сети и интернета,
    удаления трояна из памяти и перезагрузки, он снова запускается.
    Значит он всё таки скорее всего где-то хранится на каждом компьютере.

    ===
    Проведено уже много мер по ограничению прав пользователей.
    На все папки Temp дано разрешение на запись, но запрещено выполнение из них.

    Служба Удалённый реестр на всех компьютерах остановлена.

    Файл etc не изменен.
    DNS не изменен (режим автоматически).

    Но это не помогает. После удаления трояна из памяти он снова откуда-то запускается.

    Уже вспоминаются невероятные новости про вирусы в прошивке роутера.

    ===
    Интересна и предположительная история заражения.

    В почтовую программу пришло письмо с вредоносным ПО (Remote Manipulator System),
    которое было запущено. Через несколько дней обнаружилось, что почта взломана,
    так как пароли перехвачены.

    Анализ отчётов программ логгеров показал,
    что злоумышленник скорее всего получил удалённый доступ
    к этому компьютеру в ночное время, когда он был залогинен под администратором,
    и мог выполнить любые не известные действия.
    (обнаружены добавленные исключения брандмауера для Remote Manipulator System,
    удалено письмо с вредоносным ПО, удалена временная папка из которой запустилось ПО,
    обнаружены странные общие учётные данные virtualapp

    Sc354544.png

    Всё обнаруженное удалялось, но иногда обнаруживалось повторно.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,857
    Вес репутации
    843
    Если вирус находится каждый раз в памяти, но при сканировании дисков - нет - это либо ложное срабатывание, либо руткит хорошо скрывается.

    Покажите лог Gmer.

    Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/faq/?qid=208636926.
    Если программа выдаст предупреждение на файл WINDOWS\system32\Drivers\sptd.sys - не удаляйте его.
    Файл C:\TDSSKiller.***_log.txt приложите в теме.
    (где *** - версия программы, дата и время запуска.)
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    04.04.2008
    Адрес
    Россия
    Сообщений
    22
    Вес репутации
    36
    Лог Gmer смогу получить только завтра.

    А можно ли всё-таки как-нибудь из сообщения о трояне от Kaspersky Virus Removal Tool узнать имя процесса?

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,857
    Вес репутации
    843
    "Системная память" - пишет, значит, к процессам участок, где находится троян, не относится. Опять-таки - в равной мере могут быть оба варианта, но я склоняюсь всё же к фолсу.
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    04.04.2008
    Адрес
    Россия
    Сообщений
    22
    Вес репутации
    36
    Логи Gmer и TDSSKiller
    Вложения Вложения
    • Тип файла: zip Log.zip (47.6 Кб, 2 просмотров)

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,857
    Вес репутации
    843
    Сделайте проверку KVRT в безопасном режиме, обновите утилиту, если есть новее.
    WBR,
    Vadim

  15. #14
    Junior Member Репутация
    Регистрация
    04.04.2008
    Адрес
    Россия
    Сообщений
    22
    Вес репутации
    36
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Сделайте проверку KVRT в безопасном режиме, обновите утилиту, если есть новее.
    KVRT не получается запустить нормально в безопасном режиме.
    Пишет, что не может загрузить драйвер и сканирует всё быстрее
    (кажется, что из-за этого не всё сканирует).

    И не получается установить все галочки и запуститься в безопасном режиме в Windows 8
    kvr_tool450.jpg

    Чтобы установить все галочки kaspersky virus removal tool просит перезагрузиться,
    но перезагрузиться сразу в безопасном режиме не получается
    (F8 не работает в Windows восемь),
    а со второго раза он уже галочку забывает и просит опять перезагрузиться.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,857
    Вес репутации
    843
    Загрузите Windows 8 в безопасном режиме, галочку "Загрузочные сектора" в KVRT не ставьте.
    WBR,
    Vadim

  17. #16
    Junior Member Репутация
    Регистрация
    04.04.2008
    Адрес
    Россия
    Сообщений
    22
    Вес репутации
    36
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Сделайте проверку KVRT в безопасном режиме, обновите утилиту, если есть новее.
    Проверку новой версией в безопасном режиме выполнили.

    Только в памяти находит, лечит, а после перезагрузки опять находит.

    Что-нибудь ещё можно сделать?

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,857
    Вес репутации
    843
    Сделайте полную проверку, загрузившись с LiveCD/USB от Касперского. Если не найдёт - точно ложное срабатывание.
    WBR,
    Vadim

Похожие темы

  1. не работает google chrome [Trojan-Spy.Win32.Zbot.psin, Trojan-Spy.Win32.Zbot.prth ]
    От Артем Кравець в разделе Помогите!
    Ответов: 21
    Последнее сообщение: 19.09.2013, 15:46
  2. Ответов: 7
    Последнее сообщение: 15.08.2013, 09:29
  3. Ответов: 8
    Последнее сообщение: 14.08.2013, 08:49
  4. Карантин 4158BDC52299D596F1FE5B89CD01DDDE [Trojan-Spy.Win32.Zbot.jump, Trojan.Win32.ShipUp.boe ]
    От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
    Ответов: 2
    Последнее сообщение: 19.03.2013, 19:12
  5. Ответов: 6
    Последнее сообщение: 18.07.2012, 15:42

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00948 seconds with 17 queries