Koń trojański Win32/Spy.Zbot.ABA

Dzień dobry,

 

Podczas uruchamiania się systemu, antywirus NOD32 sygnalizuje, że wykrył następujące zagrożenie w pamięci operacyjnej:

 

‘Skaner przy uruchamianiu    plik      Pamięć operacyjna » qelaz.exe(2728)            odmiana zagrożenia Win32/Spy.Zbot.ABA koń trojański wyleczony przez usunięcie”

 

Pomimo tego, że pojawia się informacja o wyleczeniu przez usunięcie, przy ponownym uruchomieniu komputera ponownie pojawia się  informacja o zagrożeniu. Bardzo proszę o pomoc.

 

Logi OTL

http://www.wklej.org/id/1238868/

 

Extras

http://www.wklej.org/id/1238871/

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe File not found
O4 - HKLM..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe File not found
O4 - HKU\S-1-5-21-3233146414-2639860427-1635563802-1000..\Run: [Internet Security] C:\Users\HP\AppData\Roaming\tdefender.exe File not found
O4 - HKU\S-1-5-21-3233146414-2639860427-1635563802-1000..\Run: [kcqvolsprnvndzk] C:\ProgramData\kcqvolsp.exe File not found
O4 - HKU\S-1-5-21-3233146414-2639860427-1635563802-1000..\Run: [Odeluwbu] C:\Users\HP\AppData\Roaming\Wixoibex\qelaz.exe (IirDeremder S.R.L.)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
[2014-01-16 19:27:33 | 000,000,000 | ---D | C] -- C:\Users\HP\.android
[2014-01-16 19:27:32 | 000,000,000 | ---D | C] -- C:\Users\HP\AppData\Local\cache
[2014-01-16 19:27:31 | 000,000,000 | ---D | C] -- C:\Users\HP\AppData\Roaming\newnext.me
[2014-01-16 19:27:31 | 000,000,000 | ---D | C] -- C:\Users\HP\Documents\Mobogenie
[2014-01-16 19:27:31 | 000,000,000 | ---D | C] -- C:\Users\HP\AppData\Local\Mobogenie
[2014-01-16 19:27:31 | 000,000,000 | ---D | C] -- C:\Users\HP\AppData\Local\genienext
[2014-01-16 19:26:55 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Mobogenie
[2014-01-16 17:27:00 | 000,000,000 | ---D | C] -- C:\Users\HP\AppData\Roaming\Miyzifo
[2014-01-16 17:26:28 | 000,000,000 | ---D | C] -- C:\Users\HP\AppData\Roaming\Loehymz
[2014-01-16 17:25:41 | 000,000,000 | ---D | C] -- C:\Users\HP\AppData\Roaming\Onihiq
[2014-01-16 17:25:04 | 000,000,000 | ---D | C] -- C:\Users\HP\AppData\Roaming\Xoxiazve
[2014-01-16 17:24:17 | 000,000,000 | ---D | C] -- C:\Users\HP\AppData\Roaming\Symidot
[2014-01-16 17:23:46 | 000,000,000 | ---D | C] -- C:\Users\HP\AppData\Roaming\Wixoibex
[2012-07-28 20:19:23 | 000,000,051 | ---- | C] () -- C:\ProgramData\mhgupdycjvtrjwn
:Files
C:\Windows\tasks\Security*.job
C:\ProgramData\*.exe 
C:\Users\HP\AppData\Roaming\*.exe
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Dziękuję za szybką odpowiedź, niestety po restarcie problem pojawia się ponownie

 

raport z usuwania

 

http://www.wklej.org/id/1238920/

 

nowy log

 

http://www.wklej.org/id/1238948/

 

Wyłącz przywracanie systemu jeżeli jest włączone.To zazwyczaj pomaga.Ściągnij Dr Web curelt i przeskanuj.Możesz spróbować też zainstalować Malware Bytes i skan.Powodzenia

Wykonaj skrypt w trybie awaryjnym.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

http://support.kaspersky.com/pl/general/various/493#q1

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKU\S-1-5-21-3233146414-2639860427-1635563802-1000..\Run: [Odeluwbu] C:\Users\HP\AppData\Roaming\Wixoibex\qelaz.exe (IirDeremder S.R.L.)
[2014-01-16 21:25:12 | 000,000,000 | ---D | C] -- C:\Users\HP\AppData\Roaming\Wixoibex
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

 

Wyłączenie przywracania systemu oraz przeskanowanie Dr Web Curelt nie pomogło ale bardzo dziękuję za pomoc. 

 

 

Udało się! Po uruchomieniu w trybie awaryjnym oraz zastosowaniu skryptu, problem nie występuje

 

raport z usuwania

http://www.wklej.org/id/1239056/

 

nowy log

http://www.wklej.org/id/1239059/

 

 

 

 

Bardzo dziękuję za fachową pomoc

Serdecznie pozdrawiam

Wklej i kliknij Wykonaj skrypt:

:OTL
[2014-01-16 22:14:21 | 000,000,000 | ---D | C] -- C:\ProgramData\Doctor Web
[2014-01-16 22:14:20 | 000,000,000 | ---D | C] -- C:\Users\HP\Doctor Web

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

 

Zrobione. Jeszcze raz bardzo dziękuję za pomoc.