Форум - Заметки Сис.Админа
Архив форума - Форум - Заметки Сис.Админа

Темы, "срок годности" которых истек

Показано с 1 по 10 из 10

C:\RECYCLER\...\zaberg.exe

  1. #1
    ёж в тапках
    Гость
    Здравствуйте!

    Видел обращения по этому Забергу, но в ответах фигурируют разные скрипты, потому решил открыть эту тему.
    Выполнил следующую инструкцию:
    "Сделайте лог AVZ - посмотрим.
    Скачайте AVZ.Распакуйте архив.Запустите AVZ.Обновите:Файл-Обновление баз-Пуск.Отключите интернет,антивирус.Включите AVZGuard,включите AVZPM:установить драйвер расширенного мониторинга процессов.
    Файл-Стандартные скрипты-Отметить №3-Выполнить отмеченные скрипты.Дождитесь выполнения.В папке AVZ появится папка LOG.В ней находится архив virusinfo_syscure.zip (не путать с архивом virusinfo_cure.zip).Этот архив прикрепите к сообщению."

    Заранее спасибо за ответ!
    Вложения Вложения

  2. # ADS
     

  3. #2
    [Толковый AVZ'тник] Аватар для Shooter

    байт форума


    Регистрация
    24.09.2010
    Адрес
    Беларусь, Борисов
    Сообщений
    4,248
    Репутация
    10
    ёж в тапках, отключите интернет,антивирус.Запустите AVZ-Файл-Выполнить скрипт-Вставьте следующий текст:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     TerminateProcessByName('c:\windows\aadrive32.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
     DeleteFile('C:\Windows\aadrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Нажмите "Запустить".Комп перезагрузится. Повторите лог.
    Почетный обладатель
    [только зарегистрированные пользователи могут видеть ссылки]
    и пользователями.

    Прямо культ Пресвятого Шутера Борисовского, бгг)) © dj_gvozd

  4. #3
    ёж в тапках
    Гость
    Ваш скрипт выполнил, после повторного выполнения стандартного скрипта №3 получаем следующий лог:
    Вложения Вложения

  5. #4
    [Толковый AVZ'тник] Аватар для Shooter

    байт форума


    Регистрация
    24.09.2010
    Адрес
    Беларусь, Борисов
    Сообщений
    4,248
    Репутация
    10
    ёж в тапках, на данный момент в логе чисто.
    Почетный обладатель
    [только зарегистрированные пользователи могут видеть ссылки]
    и пользователями.

    Прямо культ Пресвятого Шутера Борисовского, бгг)) © dj_gvozd

  6. #5
    ёж в тапках
    Гость
    Спасибо за оперативную помощь!

  7. #6
    Trolle
    Гость
    Будьте так добры, похожая проблема + aadrive32.exe + возможно еще что-то...
    [только зарегистрированные пользователи могут видеть ссылки]

    [только зарегистрированные пользователи могут видеть ссылки]
    Последний раз редактировалось Trolle; 21.02.2012 в 20:42.

  8. #7
    [Толковый AVZ'тник] Аватар для Shooter

    байт форума


    Регистрация
    24.09.2010
    Адрес
    Беларусь, Борисов
    Сообщений
    4,248
    Репутация
    10
    Trolle, отключите интернет,антивирус.Запустите AVZ-Файл-Выполнить скрипт-Вставьте следующий текст:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('RemoveAny');
     SetServiceStart('RemoveAny', 4);
     DeleteService('RemoveAny');
     TerminateProcessByName('c:\windows\aadrive32.exe');
     TerminateProcessByName('c:\documents and settings\trolle\application data\28.tmp');
     DeleteFile('C:\WINDOWS\system32\Drivers\removeany.sys');
     DeleteFile('C:\Documents and Settings\trolle\Application Data\Ccbubw.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ccbubw');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
     DeleteFile('C:\WINDOWS\aadrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     DeleteFile('C:\WINDOWS\system32\11.exe');
     BC_DeleteFile('C:\WINDOWS\system32\12.exe');
     DeleteFile('C:\WINDOWS\system32\30.exe');
     DeleteFile('C:\WINDOWS\system32\41.exe');
     DeleteFile('C:\WINDOWS\system32\55.exe');
     DeleteFile('C:\WINDOWS\system32\65.exe');
     DeleteFile('C:\WINDOWS\system32\71.exe');
     DeleteFile('C:\WINDOWS\system32\76.exe');
     DeleteFile('C:\WINDOWS\system32\78.exe');
     DeleteFile('c:\documents and settings\trolle\application data\28.tmp');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Нажмите "Запустить".Комп перезагрузится. Повторите лог.
    Почетный обладатель
    [только зарегистрированные пользователи могут видеть ссылки]
    и пользователями.

    Прямо культ Пресвятого Шутера Борисовского, бгг)) © dj_gvozd

  9. #8
    Trolle
    Гость
    Shooter, спасибо большое что откликнулись, но мне уже чуть раньше подсказали с скриптом, если вам интересен данный случай то могу дать ссылку.

  10. #9
    [Толковый AVZ'тник] Аватар для Shooter

    байт форума


    Регистрация
    24.09.2010
    Адрес
    Беларусь, Борисов
    Сообщений
    4,248
    Репутация
    10
    Нет, спасибо. Я знаю где .
    Почетный обладатель
    [только зарегистрированные пользователи могут видеть ссылки]
    и пользователями.

    Прямо культ Пресвятого Шутера Борисовского, бгг)) © dj_gvozd

  11. #10
    fanatic.67kg
    Гость
    Проблема с этим же вирусом. Windows 7 вроде бы его удалил, из автозагрузки тоже...подскажите если его "нет" и он не запускается, он опасен? Ещё одно, AVZGuard не заработало, пишет ошибка активации..

    Заранее спасибо!

Метки этой темы
Ваши права
  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •