Win32/Spy.Zbot.ZR...помогите - Форум технической поддержки ESET NOD32

Сообщений: 5

Баллов: 2

Регистрация: 11.04.2013

Размещено 11.04.2013 19:03:06

помогите пожалуйста избавиться от вируса...Оперативная память = explorer.exe(592) - модифицированный Win32/Spy.Zbot.ZR троянская программа - очистка невозможна..... и кстати число в скобках разное каждый раз..растолкуйте подробнее и понятным языком что нужно сделать чтобы вылечить комп...очень прошу.спасибоCOMPUTER-526CAE_2013-04-11_18-26-37.7zMBAM-log-2013-04-11 (19-22-31).txt

Изменено: Владимир Владимир - 11.04.2013 20:28:45

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 11.04.2013 19:11:24

Сделайте лог uVS

Правильно заданный вопрос - это уже половина ответа

Сообщений: 5

Баллов: 2

Регистрация: 11.04.2013

Размещено 11.04.2013 19:39:53

лог сделал..жду дальнейших указаний....и еще кстати проблемы со всеми браузерами..не пускает в инэт меня вирус этот....

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 11.04.2013 19:49:37

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.77.9 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\JAVA\UPDATE\DOWNLOAD\CACHE\JSHEDED.EXE bl A37A11616959B757E026F5D123ADCCDA 193024 addsgn A7679B19919AED7E1A82AE7764C9AA012FDFFC1E7901F5873DE372E9503E5F1FDCE847974A4025759CD584776645B605F60F5873BD39E0D3D29CF0979FB17773 8 Malware-gen zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\IPCIY\PAOL.EXE bl CC450F18AC84416C5B4272E8E3CB5668 178176 addsgn A7679BF0AA0268834AD4C6E472881261848AFCF689AA7BF1A0C3C5BC50559D34704194DE5BBD1E2CD780EE9EB90341DB3DDFB1F158BA406D2D882722D7F66373 8 ZBot addsgn 925277BA0B6AC1CC0B244F4E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Win32.Inject.fgva [Kaspersky] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\79824C\79824C.EXE bl 9E64934BACDB03666D08C3179A936E06 46592 adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\79824C\79824C.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\IPCIY\PAOL.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\JAVA\UPDATE\DOWNLOAD\CACHE\JSHEDED.EXE chklst delvir deltmp delnfr delref HTTP://WWW.MAIL.RU/CNT/5087 delref HTTP://WWW.MAIL.RU/CNT/7227 delref HTTP://WWW.MAIL.RU/CNT/9516 czoo restart

Код

;;uVS v3.77.9 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\JAVA\UPDATE\DOWNLOAD\CACHE\JSHEDED.EXE
bl A37A11616959B757E026F5D123ADCCDA 193024
addsgn A7679B19919AED7E1A82AE7764C9AA012FDFFC1E7901F5873DE372E9503E5F1FDCE847974A4025759CD584776645B605F60F5873BD39E0D3D29CF0979FB17773 8 Malware-gen
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\IPCIY\PAOL.EXE
bl CC450F18AC84416C5B4272E8E3CB5668 178176
addsgn A7679BF0AA0268834AD4C6E472881261848AFCF689AA7BF1A0C3C5BC50559D34704194DE5BBD1E2CD780EE9EB90341DB3DDFB1F158BA406D2D882722D7F66373 8 ZBot
addsgn 925277BA0B6AC1CC0B244F4E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Win32.Inject.fgva [Kaspersky]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\79824C\79824C.EXE
bl 9E64934BACDB03666D08C3179A936E06 46592
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\79824C\79824C.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\IPCIY\PAOL.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\JAVA\UPDATE\DOWNLOAD\CACHE\JSHEDED.EXE
chklst
delvir
deltmp
delnfr
delref HTTP://WWW.MAIL.RU/CNT/5087
delref HTTP://WWW.MAIL.RU/CNT/7227
delref HTTP://WWW.MAIL.RU/CNT/9516
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Сообщений: 5

Баллов: 2

Регистрация: 11.04.2013

Размещено 11.04.2013 20:29:30

по почте лог отослал..ссылку на сканирование прикрепил....в сканере показало что 1 вирус есть.....троян этот...что дальше?

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 11.04.2013 20:33:06

лучше файлы прикреплять к свежим сообщениям, а не первому
найденное удалите в Мбам и перезагрузитесь. потом Мбам можете удалить
если проблем больше нет - Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Сообщений: 5

Баллов: 2

Регистрация: 11.04.2013

Размещено 11.04.2013 20:45:53

для надежности проверил повторноМаб...вирусов не обнаружено..) значит от этого трояна избавился мой комп????....а еще можно поинтересоваться что это завирус....? какой вред он нанёс итд? какаво его предназначение ?

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 11.04.2013 20:50:05

Собирает информацию о банковских операциях на вашем ПК и отправляет куда ему скажут. Если пользовались онлайн банкингом - смените пароли.

Правильно заданный вопрос - это уже половина ответа

Сообщений: 5

Баллов: 2

Регистрация: 11.04.2013

Размещено 11.04.2013 20:53:25

хм..опасный..) ...Спасибо вам большое за помощ)

[ Закрыто ] Win32/Spy.Zbot.ZR...помогите , Win32/Spy.Zbot.ZR.....