Решена - модифицированный Win32/Spy.Zbot.ZR троянская программа

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Loryk75, 31 авг 2012.

  1. Loryk75

    Loryk75 Junior User

    ПОМОГИТЕ, люди добрые! Мой антивирус ESET NOD32 Antivirus 4 сегодня, в результате сканирования ПК, выдал такую инфу:
    Оперативная память = explorer.exe(1488) - модифицированный Win32/Spy.Zbot.ZR троянская программа - очистка невозможна.:(
    Что мне делать??? Подскажите, плиз. Только поразборчивей, пожалуйста, если можно - я не компьютерный гений, не шибко сильна в компьютерах.
    Заранее благодарю!!!
    ЛОГи:
    http://zalil.ru/33718845
    http://zalil.ru/33718849
    http://zalil.ru/33718917
     
    Последнее редактирование: 1 сен 2012
    Loryk75, 31 авг 2012
    #1
  2. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    zloyDi, 1 сен 2012
    #2
  3. Loryk75

    Loryk75 Junior User

    Loryk75, 3 сен 2012
    #3
  4. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    Доброго времени суток!

    1. В папке с программой UVS будет файл script.cmd
    Запустить файл, запустится окно программы для ввода скрипта,
    скопировать скрипт написанный ниже и вставить в окно программы.
    ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

    Код:
    ;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\COLYU\ULIB.EXE
bl 89F26F3E8C0206FC0146D69AEC8B98DF 197633
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\COLYU\ULIB.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\TEMP\IADHIDE5.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\TEMP\IADHIDE5.DLL
delall %Sys32%\????
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK_RFRLETITBIT2_S_MPCLN9514.EXE UNINSTALL
exec "C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\UNINST-TNOD.EXE"
regt 3
regt 18
deltmp
delnfr
restart
    И жмем кнопку Выполнить.
    На запросы программы по удалению жмите ДА
    ПК перезагрузится.

    В папке с программой UVS будет папка zoo, ее поместить в архив,
    установить пароль virus и прислать сюда sendvirus2011@gmail.com

    2. Cделайте лог MBAM (подробнее) и
    дайте ссылку на файл лога.*выполнять обязательно!
    Если лог не открылся, нажмите "Показать Результаты", сохраните отчет и дайте на него ссылку.

    Если форум оказался полезен вам и вашему компьютеру, пожалуйста, поддержите его работу -
     
    zloyDi, 3 сен 2012
    #4
  5. Loryk75

    Loryk75 Junior User

    Здравствуйте! Я вчера вечером отправила с адреса loryk75@inbox.ru (от loryk75) на адрес sendvirus2011@gmail.com заархивированную и запаролированную папку ZOO (сделала все по инструкции).
    Вопрос: А что с этой заархивированной и запаролированной папкой делать на самом ПК? Оставить ее? Я просто обратила внимание, что Malwarebytes Anti-Malware не определил ее в результате полного сканирования, или может я чего-то не понимаю...
    Сейчас даю ссылку на mbam-log:
    http://zalil.ru/33728344
    Жду Вашего ответа.
     
    Loryk75, 5 сен 2012
    #5
  6. Loryk75

    Loryk75 Junior User

    Здравствуйте еще раз! Прошу прощения... Вы обо мне не забыли?
     
    Loryk75, 7 сен 2012
    #6
  7. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    Не забыли, просто у меня сейчас нет много времени заниматься помощью.
    Перезалейте лог сюда www.rghost.ru
     
    zloyDi, 8 сен 2012
    #7
  8. Loryk75

    Loryk75 Junior User

    Loryk75, 8 сен 2012
    #8
  9. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    Удалить только вот это

    Для закрытия уязвимостей, выполнить скрипт в AVZ:

    Код:
    begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false)
 else MessageDlg('Часто используемые уязвимости не обнаружены.', mtInformation, mbOk, 0);
ExitAVZ;
end.
    После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления,
    которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

    Сообщите о результате.

    Если форум оказался полезен вам и вашему компьютеру, пожалуйста, поддержите его работу -
     
    zloyDi, 8 сен 2012
    #9
  10. Loryk75

    Loryk75 Junior User

    Здравствуйте! Я все сделала, как Вы написали в последнем сообщении. Единственный момент:
    Adobe Reader (по ссылке из avz_log.txt-Блокнота) у меня скачался версии 10.1.0 (AdbeRdr1010_ru_RU.exe), его же я и установила на свой ПК.
    После повторного выполнения скрипта из вашего последнего сообщения (чтобы перепроверить, все ли ок) в avz_log.txt-Блокноте вот такая фраза:

    Поиск критических уязвимостей
    Установлен Adobe Reader версии 10.1.0. Опасно использовать версии до 10.1.2
    http://ardownload.adobe.com/pub/adobe/reader/win/10.x/10.1.4/misc/AdbeRdrUpd1014.msp
    Обнаружено уязвимостей: 1

    Все ли я правильно сделала? Ведь в Adobe Reader при выборе версии программы просят указать операционную систему и язык. Я указала Windows XP SP3 и Русский, после чего мне автоматически было предложено 2 варианта: либо 10.1, либо 9.5. Я выбрала 10.1.
     
    Loryk75, 10 сен 2012
    #10
  11. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    В самой программе выполнить поиск обновлений, если не ошибаюсь меню Справка-Поиск обновлений. Программа сама скачает и установит обновление.
     
    zloyDi, 10 сен 2012
    #11

Поделиться этой страницей