Показано с 1 по 8 из 8.

Trojan-Spy.Win32.Zbot.rmm - помогите справится, плз. (заявка № 43288)

  1. #1
    Junior Member Репутация
    Регистрация
    05.04.2009
    Сообщений
    4
    Вес репутации
    33

    Exclamation Trojan-Spy.Win32.Zbot.rmm - помогите справится, плз.

    Спасибо, что есть такие добрые люди, как вы!
    Ситуация у меня такая.
    Подцепил вирус, как оказалось не один. Вот список из Касперского онлайн.

    не найдено: вирус Worm.Win32.AutoRun.dnk
    обнаружено: троянская программа Exploit.Win32.Pidief.aaj
    удалено: вирус Worm.Win32.AutoRun.ear
    удалено: вирус Worm.Win32.AutoRun.dnd
    обнаружено: троянская программа Exploit.JS.Agent.afh
    обнаружено: троянская программа Trojan-Spy.Win32.Zbot.rmm
    удалено: троянская программа Trojan-Spy.Win32.Zbot.rmm
    удалено: троянская программа Trojan-Spy.Win32.Zbot.rmm

    Какие-то касперский смог вылечить, а вот с одной из копий Trojan-Spy.Win32.Zbot.rmm не справился.

    Записывать логи пришлось только в безопасном режиме - в нормальном комп вис.

    Подскажите, пожалуйста, что сделать, чтобы восстановить нормальную работу системы?

    Заранее признателен.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    "Пофиксите" в HijackThis
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
    O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
    BC_Importall;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=43288
    Повторите логи по правилам.

    а вот с одной из копий Trojan-Spy.Win32.Zbot.rmm не справился.
    В каком файле это?

  4. #3
    Junior Member Репутация
    Регистрация
    05.04.2009
    Сообщений
    4
    Вес репутации
    33
    Спасибо

    Цитата Сообщение от light59 Посмотреть сообщение
    В каком файле это?
    Это в файле
    c:\documents and settings\andrej\local settings\temporary internet files\content.ie5\89e7wlyj\1[1].exe//1[1]

    После того, как профиксил, запустил скрипт, система заработала в нормальном режиме (перестала зависать), но при загрузке выдала ошибку:

    BCCode: 1000008e BCP1:8000004 BCP2:80707AE1 BCP3:F418D65C
    BCP4:00000000 OSVer:5_1_1600 SP:3_C Product:256_1

    При следующих загрузках система эту ошибку уже не выдавала.

    Логи в аттачменте. Карантин отправил. Еще раз спасибо.
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    05.04.2009
    Сообщений
    4
    Вес репутации
    33
    Забыл написать, что Trojan-Spy.Win32.Zbot.rmm остался на компьютере.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    К сведению
    ...Trojan-Spy.Win32.Zbot используются злоумышленниками для кражи с компьютеров пользователей различной банковской информации...
    в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
     SetAVZPMStatus(True);
    BC_Activate;
    RebootWindows(true);
    end.
    Удалите мусор CCleaner.
    Обновите базы Каспера, сделайте им полную проверку.
    Логи повторите.

  7. #6
    Junior Member Репутация
    Регистрация
    05.04.2009
    Сообщений
    4
    Вес репутации
    33
    Спасибо за помощь. Код выполнил, мусор очистил.

    Касперский смог вирус запихнуть в резервное хранилище. А при второй полной проверки уже не обнаружил его.

    Удалить вирус в хранилище?

    Логи выкладываю.

    Помог вашему ресурсу - пусть развивается и процветает!!! Круто, что вы есть)))

    Интересно, что значит "различная банковская информация". Что это? На компе платил банковской картой (но до того, как вирус словил), а еще на нем банк-клиент юрлица стоит. Нужно бежать все блокировать?

    Нет темы на форуме, где этот вопрос обсуждался?

    Еще раз спасибо!
    Вложения Вложения

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    в avz
    Код:
    begin
     executerepair(13);
    rebootwindows(true);
    end.
    Больше ничего плохого.
    Я не знаю, что за банковская информация, но на сайте ЛК это в описании есть.

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) akubka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan-Spy.Win32.Zbot.ikh!!!
      От BaagBeer в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 09.10.2009, 14:44
    2. Trojan-Spy.Win32.Zbot.zys
      От kamora в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 25.08.2009, 16:14
    3. Trojan-spy.win32.zbot.ikh
      От ПДК в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 01.06.2009, 10:28
    4. Помогите справится с Trojan-PSW.Win32.Agent.mcv
      От СашаПи в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 02.03.2009, 23:52
    5. Ответов: 7
      Последнее сообщение: 22.02.2009, 07:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00855 seconds with 17 queries