Win32/Spy.Zbot.ZR троянская программа очистка невозможна - Форум технической поддержки ESET NOD32

Сообщений: 4

Баллов: 2

Регистрация: 20.04.2012

Размещено 20.04.2012 16:20:05

Доброго времени суток. При проверке компьютера был обнаружен вирус - Win32/Spy.Zbot.ZR

прилагаю файл с отчетом.

Заранее спасибо

Прикрепленные файлы

AGRICOLE_1_2012-04-20_15-11-45.7z (129.34 КБ)

Изменено: smoked - 20.04.2012 16:39:21

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.04.2012 17:39:26

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %Sys32%\MSUPDT.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\ZEATYM\USLYS.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\CHEFF\APPLICATION DATA\BATUY\NOMY.EXE deltmp delnfr regt 12 CZOO restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %Sys32%\MSUPDT.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\ZEATYM\USLYS.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\CHEFF\APPLICATION DATA\BATUY\NOMY.EXE
deltmp
delnfr
regt 12
CZOO
restart

перезагрузка,
архив из каталога uVS (по формату: 2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 20.04.2012

Размещено 23.04.2012 12:26:18

Доброго времени суток! Скрипт запустил, НОД пока молчит. Архивы на почту выслал.

Спасибо за помощь!

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 23.04.2012 12:29:53

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа

Сообщений: 4

Баллов: 2

Регистрация: 20.04.2012

Размещено 24.04.2012 11:40:02

Доброго времени суток! Сегодня были обнаружен новые атаки тем же вирусом. НОД предложил отослать для анализа файлы, около 10-12 штук, что и было сделано. Прилагаю отчет, о котором Вы упоминали.

Прикрепленные файлы

mbam-log-2012-04-24 (10-33-40).txt (2.74 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.04.2012 11:48:38

потому и не тяните с ответами, пролечили систему, сразу выполнить надо рекмоендации, закрыть уязвимости если есть в системе.
--------
удалите в мбам все найденное, кроме

Цитата
Объекты реестра обнаружены: 1 HKLM\SOFTWARE\Microsoft\Security Center\|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

перегрузите систему, и повторите быстрый скан в мбам

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 20.04.2012

Размещено 24.04.2012 12:13:23

Удалил, повторил быстрый скан. отчет прилагаю.

Прикрепленные файлы

mbam-log-2012-04-24 (11-06-39).txt (2.31 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.04.2012 12:14:55

чисто, выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
тему закрываю.

[ Как создать образ автозапуска? ]

[ Закрыто ] Win32/Spy.Zbot.ZR троянская программа очистка невозможна