z-connect! Помогите!

[geralt1488]

Несколько дней назад начались проблемы с инетом.. сначала гуглил, нашел у кого то на ЖЖ панацею - скрипт.. Не помогло...а потом набрел на ваш форум. Помогите!! Плиз!
Симптомы такие же, как и в описываемых ранее темах - вылеты из инета и неубиваемый вирус, создающий подключение "z-connect"

Вот логи

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

O4 - HKLM\..\Run: [vcrt80.dll] C:\WINDOWS\system32:vcrt80.exe

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32:vcrt80.exe:$DATA','');
 QuarantineFile('c:\RESTORE\k-1-3542-4232123213-7676767-8888886\Ogard.exe','');
 QuarantineFile('C:\SYSTEM\G-923-321232-3232-32211-23\memory.exe','');
 QuarantineFile('C:\BIN\RECYCLE\Bin.exe','');
 QuarantineFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe','');
 QuarantineFile('C:\PROGRA~1\FieryAds\FieryAds.dll','');
 QuarantineFile('C:\winhet.exe','');
 QuarantineFile('C:\WINDOWS\system32\vcrt80.exe','');
 QuarantineFile('C:\WINDOWS\system32\vcrt80.dll','');
 QuarantineFile('C:\WINDOWS\system32:vcrt80.exe','');
 DeleteFile('C:\WINDOWS\system32:vcrt80.exe');
 DeleteFile('C:\WINDOWS\system32\vcrt80.dll');
 DeleteFile('C:\WINDOWS\system32\vcrt80.exe');
 DeleteFile('C:\winhet.exe');
 DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll');
 DeleteFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe');
 DeleteFile('C:\BIN\RECYCLE\Bin.exe');
 DeleteFile('C:\SYSTEM\G-923-321232-3232-32211-23\memory.exe');
 DeleteFile('c:\RESTORE\k-1-3542-4232123213-7676767-8888886\Ogard.exe');
 DeleteFile('C:\WINDOWS\system32:vcrt80.exe:$DATA');
 DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-74CC2A323342}');
 DelCLSID('{0922162D-E289-17F9-6283-EAE70BDE63D2}');
 DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C987892}');
 DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[geralt1488]

Вот новые логи. Карантин выслал(насколько я понял эту опцию).. если неправильно - скажите, исправлю и вышлю по новой.
Тьфу, тьфу, тьфу, пока все работает...спасибо=)

Еще кое что... с тех пор, как у меня эта фигня появилась, оно стало блокировать доступ на torrents.ru.. Не подскажите, что это может быть, и как это можно исправить?

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\SYSTEM\G-923-321232-3232-32211-23\memory.exe','');
 QuarantineFile('c:\RESTORE\k-1-3542-4232123213-7676767-8888886\Ogard.exe','');
 DeleteFile('c:\RESTORE\k-1-3542-4232123213-7676767-8888886\Ogard.exe');
 DeleteFile('C:\SYSTEM\G-923-321232-3232-32211-23\memory.exe');
 DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-74CC3A187132}');
 DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D157322}');
 DeleteFileMask('c:\RESTORE\','*.*',true);
 DeleteFileMask('C:\SYSTEM\','*.*',true);
 DeleteDirectory('C:\SYSTEM\');
 DeleteDirectory('c:\RESTORE\');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.


- Установите IE 8
- Обновите Kaspersky Antivirus

Еще кое что... с тех пор, как у меня эта фигня появилась, оно стало блокировать доступ на torrents.ru.. Не подскажите, что это может быть, и как это можно исправить?

Долечитесь,может прорежется доступ.

[geralt1488]

Новые логи, карантин сейчас вышлю

[Aleksandra]

Ничего зловредного в логах нет.

[geralt1488]

Ребята, спасибо огроменное!!!!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 29
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\bin\recycle\bin.exe - Backdoor.Win32.Bifrose.atsn ( DrWEB: Trojan.MulDrop.31224, BitDefender: Backdoor.Generic.172882 )
  2. c:\restore\k-1-3542-4232123213-7676767-8888886\ogard.exe - Trojan-Downloader.Win32.VB.lop ( DrWEB: BackDoor.Poison.686, BitDefender: Gen:Trojan.Heur.3000FFCBCB )
  3. c:\system\g-923-321232-3232-32211-23\memory.exe - Trojan-Spy.Win32.VB.blt ( DrWEB: Trojan.MulDrop.24734, BitDefender: Gen:Trojan.Heur.VB.40748BCBCB )
  4. c:\windows\system32:vcrt80.exe - Backdoor.Win32.Poison.zlm
  5. c:\windows\system32:vcrt80.exe:$data - Backdoor.Win32.Poison.zlm

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !