Trojan-Spy.Win32.Zbot.pto и др.

[Kinoman]

5 дней назад перестал активироваться Касперский. Все пункты меню не активные. Снес Касперского (была старая версия 5.0.527), хотел поставить новую, но сначала решил проверить на вирусы он-лайн сканером Касперского - он обнаружил несколько вирусов (видимо, поэтому и блокировался антивирус):

 

Trojan-Spy.Win32.Zbot.pto

not-a-virus:WebToolbar.Win32.TMAagent.b

not-a-virus:AdWare.Win32.TMAagent.o

и т.п.

 

Прошу помочь с удалением вирусов и троянов из системы! Логи прилагаю.

 

P.S. Профилактику заражения проводил (по рекомендациям форума - отключал службы и т.д.), но не помогло уберечься..( Наверное не все рекомендации выполнял..

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[Apollon]

в логах HJT вижу остатки или же весь OutPost - Рекомендаций по его удалению, если вы планируете после лечения ставить КИС или же КАВ, то рекомендацию советую выполнить после лечения вашего ПК

Изменено 21 марта, 2009 пользователем User

[Kinoman]

разве OutPost не может работать вместе с KAV ? У меня 2 года работал и все ок было..

[Apollon]

разве OutPost не может работать вместе с KAV ? У меня 2 года работал и все ок было..

Я дал вам рекомендацию на то случай если вы снесли КАВ и остался АутПост, и его все равно придётся удалить потому что КАВ и КИС других на компе перед установкой не любят

А после установки КАВ смело ставте АутПост, хотя я вам советую КИС 8.0(2009)

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\nvtuicpl.cpl','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
DeleteFile('C:\WINDOWS\system32\twex.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Пофиксить в HijackThis следующие строчки

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,

[Kinoman]

2 User - спасибо - теперь ясно зачем удалять Аутпост)

 

2 akoK - спасибо большое! скрипты в AVZ выполнил - архив карантина отослал на мыло. Но пофиксить в HijackThis не получилось - не нашел там этой строки. Логи для проверки высылаю. Прошу еще раз посмотреть их.

 

ЗЫ. Так это был Trojan-Spy.Win32.Zbot.pto или что то другое?

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[akoK]

Ваш провайдер?

82.207.64.0 - 82.207.67.255

Ukrtelecom IP access network in Kiev
NCC#2006091478 Approved IP assignment
Украина
E-mail for SPAM and abuse postmaster@ukrtel.net

Remiga Alexander
JSC UKRTELECOM
18, Shevchenko blvd
Ukraine, Kiev
phone: +380 (44) 230-9024

Remiga Alexander
JSC UKRTELECOM
18, Shevchenko blvd
Ukraine, Kiev
phone: +380 (44) 230-9024

UKRTELNET
Источник: whois.ripe.net

 

В логах чисто.

ЗЫ. Так это был Trojan-Spy.Win32.Zbot.pto или что то другое?

Ответ с результатами анализа должен Вам на почту прийти...не мне

[Kinoman]

Ваш провайдер?

 

Код

82.207.64.0 - 82.207.67.255

 

Ukrtelecom IP access network in Kiev

NCC#2006091478 Approved IP assignment

Украина

E-mail for SPAM and abuse postmaster@ukrtel.net

 

Remiga Alexander

JSC UKRTELECOM

18, Shevchenko blvd

Ukraine, Kiev

phone: +380 (44) 230-9024

 

Remiga Alexander

JSC UKRTELECOM

18, Shevchenko blvd

Ukraine, Kiev

phone: +380 (44) 230-9024

 

UKRTELNET

Источник: whois.ripe.net

 

да, мой, а что что-то не так?

 

В логах чисто.

 

спасибо огромное за помощь! Буду ставить KIS 8 (2009), только сначала надо будет снести Outpost...

 

Цитата

ЗЫ. Так это был Trojan-Spy.Win32.Zbot.pto или что то другое?

 

Ответ с результатами анализа должен Вам на почту прийти...не мне

 

да - вот что мне пришло с ответом:

 

"В присланном Вами файле обнаружено новое вредоносное программное обеспечение.

Его детектирование будет включено в очередное обновление антивирусных баз.

Благодарим за оказанную помощь.

twex.exe_ detected Trojan-Spy.Win32.Zbot.pto"

 

Спасибо Вам еще раз!

[ТроПа]

да, мой, а что что-то не так?

Если ваш - то всё нормально. Просто нам нужно выяснить - не подменил ли его вирус. Теперь мы знаем, что нет.

[Kinoman]

Ukrtelecom - мой провайдер, а остальные реквизиты мне неведомы)

[akoK]

Пароли смените.

[Kinoman]

Пароли смените.

 

На всЁ ?

 

и еще - прошу помочь найти безопасный режим (чтобы снести Outpost) -

при перезагрузке при нажатии F8 появляется меню выбора с какого диска загружаться,

а выбора режима загрузки (безопасн. или обычный) нет - где его искать?

[Apollon]

и еще - прошу помочь найти безопасный режим (чтобы снести Outpost) -

при перезагрузке при нажатии F8 появляется меню выбора с какого диска загружаться,

а выбора режима загрузки (безопасн. или обычный) нет - где его искать?

С Жесткого(HDD) - потом опять F8 - выбрать безопасный режим

 

На всЁ ?

Желательно на все - спать спокойней будете

Изменено 22 марта, 2009 пользователем User

[Kinoman]

Спасибо, вроде все получилось,

KIS 8 (2009) установил

[ТроПа]

Ну теперь поставьте компьтер на полную проверку, антивирус может ещё найти не активных (ждущих когда вы на них нажмёте) врагов.