Цепанул новый мод виря Trojan-Spy.Win32.Zbot

Limemax 2010 M01 21
1640
0
0
0

Цепанул новую модификацию вируса Trojan-Spy.Win32.Zbot, не знаю как антивирь его пропустил, но я врубился что у меня вирус тогда когда перестали грузиться сайты антивирусов, глянул в файл hosts - и...

Цепанул новую модификацию вируса Trojan-Spy.Win32.Zbot, не знаю как антивирь его пропустил, но я врубился что у меня вирус тогда когда перестали грузиться сайты антивирусов, глянул в файл hosts - и обнаружил там комментарий "Some shit to block" и куча ссылок на блокировку ... Пришлось по возиться что бы удалить вирь самому вручную, но после удаления осталась такая проблема - не грузились сайты антивирусов. Решение проблемы нашел на форуме Касперского, где подсказали выполнить следующий скрипт в AVZ

begin
BackupRegKey('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes', 'net_cure1');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes');
RegKeyCreate('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes');
end.

После перезагрузить комп. Этот скрипт можно выполнить на любом компьютере с аналогичной проблемой. Только следует помнить, что скрипт чистит все статические маршруты - а среди них могут быть и полезные, которые придется затем восстановить. (С)

Скачать AVZ с офф. сайта или с depositfiles

 

Основные признаки заражения вредоносными программами семейства Trojan-Spy.Win32.Zbot

В папках %windir%\system32 и %AppData% появляются файлы (один или несколько):
ntos.exe
twex.exe
twext.exe
oembios.exe
sdra64.exe
lowsec\\local.ds
lowsec\\user.ds

%windir%\system32 и %AppData% это системные папки операционной системы Microsoft Windows. В зависимости от того, какая именно версия ОС установлена на вашем компьютере, путь к этим папкам меняется. 
Например, на ОС Windows Vista полные пути к этим папкам таковы: C:\Windows\System32 и C:\Users\<имя_профиля>\AppData. А на ОС Windows XP Professional - C:\WINDOWS\system32 и C:\Documents and Settings\<имя_профиля>\Application Data.
Ссылки на указанные выше подозрительные файлы появляются в следующих ключах системного реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Оцените пост

0
Дальше