Страница 1 из 1

Trojan-Spy.Win32.Zbot.afe

СообщениеДобавлено: 05 апр 2009, 22:30
Rostov114
Признаки зараженной системы. Корни.
1. Ресурс в общем доступе в сетке, под произвольным именем
2. Скрытая папка “wsnpoem” в system32.содержащая audio.dll, video.dll
3. ntos.exe в system32
4. Неубиваемый файл с раширением *.tmp,под произвольным именем
5. Скрытая папка Settings в Общих документах с содержанием *.dll desktop.ini.
Имя *.dll соответствовало имени ресурса открытого к общему доступу.
6. Плохое распознавание антивирусами

Признаки зараженной системы.Последствия.
1. Совершенно мертвый IE 7, никакого соединения.
2. Неубиваемый процесс iexplore.exe с захватом ресурсов процессора до 100% (в некоторых случаях грузится winlogon и один из svchost)
3. Нарастающее количество всевозможных файлов *.dll, *.exe в system32
4. Превращение ПК в “зомби”, прокси сервера для спама и дддос.

Методы лечения.
Методов лечения от этой зарасы в глобальной сити Интернет...не море...но много. Но единственный который сработал и опишу.
0. Первым же делом отключите сетевой кабель из ПК для предотвращения вредоносных действий со стороны вашего ПК.
1. Скачиваем программу AVZ ( данная программа работает на ядре Касперский Антивирус, но может работать рядом с любыми антивирусами и не нуждается в инсталляции ).
2. Запускаем программу и идем Фаил -> Выполнить скрипт
В появивщемся поле пишем:
Код: Выделить всёРазвернуть
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\wsnpoem\video.dll','');
QuarantineFile('C:\WINNT\system32\ntos.exe','');
QuarantineFile('c:\huadio.tmp','');
DeleteFile('c:\huadio.tmp');
DeleteFile('C:\WINNT\system32\ntos.exe');
DeleteFile('C:\WINNT\system32\wsnpoem\video.dll');
BC_ImportALL;
BC_QrSvc('Wanacsnqraai');
BC_DeleteSvc('Wanacsnqraai');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Где WINNT - имя вашей папки с Windows
3. После выполнения скрипта ПК перезагрузится и при следующем старте такого мощного перегруза уже не будет. Но все равно троян с ОС полностью не удален.
4. Сново запускаем программу и идем Фаил -> Выполнить скрипт
Выполняем следующий скрипт:
Код: Выделить всёРазвернуть
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\PROGRA~1\ARTSGR~1.RU\toolbar.dll','');     
DeleteFile('C:\WINNT\system32\upd1177322939.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Где WINNT - имя вашей папки с Windows соответсвенно.
5. Компьютер сново перезагрузится и после этого троянский конь полностью ужален из ПК.

Действия после обезвреживания.
1. Кране настоятельно рекомендую установить Межсетевой экран (Firewall)
2. Установить антивирус и обновить базу сигнатур антивируса.
3. Проверить ПК антивирусом на наличие "остатков" от троянеца.

Материал взят с securitylab.ru и virusinfo.info

Мое мнение. Троянец очень легко подхватить, но с ним сложновато бороться. И после того как узнаешь что он делает, хочешь быстрее его искоренить из системы.
P.S. Этот троянец меня чуть не спровоцировал уйти с Windows

Re: Trojan-Spy.Win32.Zbot.afe

СообщениеДобавлено: 06 апр 2009, 20:46
ibe
1. Совершенно мертвый IE 7, никакого соединения.

Похоже, что моя предыдущая система была заражена :crazy:

Re: Trojan-Spy.Win32.Zbot.afe

СообщениеДобавлено: 06 апр 2009, 21:09
Rostov114
ibe писал(а):
1. Совершенно мертвый IE 7, никакого соединения.

Похоже, что моя предыдущая система была заражена :crazy:

:crazy: У меня вообще в папке с IE 7 валяются файлы от IE 6...то есть IE у меня хоть так хоть иначе был мертв еще до троя.

Re: Trojan-Spy.Win32.Zbot.afe

СообщениеДобавлено: 07 апр 2009, 23:54
Zinger
Спасибо доходчиво написал!! Будем знать какие методы лечения есть