Trojan-Spy.Win32.ZBot.a. Антивирус и утилиты удалить не могут
Здравствуйте.
Антивирусом Касперского в памяти обнаружен Trojan-Spy.Win32.ZBot.a
После нажатия Лечить троян из памяти удаляется,
но после перезагрузки компьютера появляется снова.
Утилита от Касперского ZbotKiller, AVZ4, GMER, Malwarebytes Anti-Rootkit и т.д.
ничего на диске не находят.
Отчёты прикреплены.
Отчёт LOG1.zip - это отчёт после удаления вируса Касперским, но до перезагрузки
(то есть когда вируса в пямяти скорее всего нет)
Отчёт LOG2.zip - это отчёт после перезагрузки, повторного обнаружения вируса,
и нажатия кнопки в антивирусе Пропустить (не лечить).
То есть вирус скорее всего в памяти.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) User 25, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Если нажать Лечить, то троян удаляется и при повторном сканировании не находится.
Но после перезагрузки и сканирования опять находится в памяти.
Как будто это только части трояна.
Жаль, что Kaspersky Virus Removal Tool не пишет имени процесса
(ни в сообщении, ни в отчёте сканирования)
Предположительно троян может распространяться по физической локальной сети,
так как после первого его обнаружения и сканирования на всех компьютерах,
он был найден на всех компьютерах локальной сети.
Но при отключении от локальной сети и интернета,
удаления трояна из памяти и перезагрузки, он снова запускается.
Значит он всё таки скорее всего где-то хранится на каждом компьютере.
===
Проведено уже много мер по ограничению прав пользователей.
На все папки Temp дано разрешение на запись, но запрещено выполнение из них.
Служба Удалённый реестр на всех компьютерах остановлена.
Файл etc не изменен.
DNS не изменен (режим автоматически).
Но это не помогает. После удаления трояна из памяти он снова откуда-то запускается.
Уже вспоминаются невероятные новости про вирусы в прошивке роутера.
===
Интересна и предположительная история заражения.
В почтовую программу пришло письмо с вредоносным ПО (Remote Manipulator System),
которое было запущено. Через несколько дней обнаружилось, что почта взломана,
так как пароли перехвачены.
Анализ отчётов программ логгеров показал,
что злоумышленник скорее всего получил удалённый доступ
к этому компьютеру в ночное время, когда он был залогинен под администратором,
и мог выполнить любые не известные действия.
(обнаружены добавленные исключения брандмауера для Remote Manipulator System,
удалено письмо с вредоносным ПО, удалена временная папка из которой запустилось ПО,
обнаружены странные общие учётные данные virtualapp
Если вирус находится каждый раз в памяти, но при сканировании дисков - нет - это либо ложное срабатывание, либо руткит хорошо скрывается.
Покажите лог Gmer.
Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/faq/?qid=208636926.
Если программа выдаст предупреждение на файл WINDOWS\system32\Drivers\sptd.sys - не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
"Системная память" - пишет, значит, к процессам участок, где находится троян, не относится. Опять-таки - в равной мере могут быть оба варианта, но я склоняюсь всё же к фолсу.
Сделайте проверку KVRT в безопасном режиме, обновите утилиту, если есть новее.
KVRT не получается запустить нормально в безопасном режиме.
Пишет, что не может загрузить драйвер и сканирует всё быстрее
(кажется, что из-за этого не всё сканирует).
И не получается установить все галочки и запуститься в безопасном режиме в Windows 8 kvr_tool450.jpg
Чтобы установить все галочки kaspersky virus removal tool просит перезагрузиться,
но перезагрузиться сразу в безопасном режиме не получается
(F8 не работает в Windows восемь),
а со второго раза он уже галочку забывает и просит опять перезагрузиться.