z-connect

[bizt]

сетевое соединение вылетает через 30 секунд

[gjf]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрволл.
Выполните скрипт AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('hdqonjotwbamht');
 QuarantineFile('C:\WINXP\Downloaded Program Files\WebInstaller.dll','');
 QuarantineFile('C:\WINXP\system32\mnkavgm.exe','');
 QuarantineFile('C:\WINXP\system32\avelta.exe','');
 QuarantineFile('C:\WINXP\System32\drivers\nwuhmuyvt.sys','');
 QuarantineFile('c:\winxp\winsvc32.exe','');
 DeleteFile('c:\winxp\winsvc32.exe');
 DeleteFile('C:\WINXP\System32\drivers\nwuhmuyvt.sys');
 DeleteFile('C:\WINXP\system32\avelta.exe');
 DeleteFile('C:\WINXP\system32\mnkavgm.exe');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('hdqonjotwbamht');
 BC_Activate;
 RebootWindows(true);
end.

Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Обновите базы AVZ!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.

[bizt]

Сделал все как вы сказали, карантин тоже выслал

[gjf]

Выполните скрипт в AVZ:

Код:

begin
 SetAVZPMStatus(true);
RebootWindows(false);
end.

Система перезагрузится.
Сделайте повторный лог только согласно пункта 2 Правил (Диагностика)
virusinfo_syscheck.zip

[bizt]

Выполнил, высылаю лог

[gjf]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрволл.
Выполните скрипт AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINXP\system32\cpadvai.dll','');
 QuarantineFile('%sysdir%\winsvc32.exe','');
 QuarantineFile('%sysdir%\mnkavgm.exe','');
 QuarantineFile('%sysdir%\avelta.exe','');
 DeleteFile('%sysdir%\avelta.exe');
 DeleteFile('%sysdir%\mnkavgm.exe');
 DeleteFile('%sysdir%\winsvc32.exe');
BC_ImportAll;
ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.

[bizt]

Сделал оги

[gjf]

Новая зараза, да ещё и трудноубиваемая. Называться будет Backdoor.Win32.VB.jju
Сделайте лог с помощью GMER.

[thyrex]

Попробуем так

Пофиксить в HiJack

Код:

 O4 - HKLM\..\Run: [winsvc321] winsvc32.exe

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('winsvc32.exe','');
 QuarantineFile('mnkavgm.exe','');
 QuarantineFile('avelta.exe','');
 TerminateProcessByName('c:\winxp\winsvc32.exe');
 QuarantineFile('c:\winxp\winsvc32.exe','');
 DeleteFile('c:\winxp\winsvc32.exe');
 DeleteFile('avelta.exe');
 DeleteFile('mnkavgm.exe');
 DeleteFile('winsvc32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[bizt]

Пофиксил строку, скрипт в avz выполнил, карантин отправил. Лог GMER отправлю попозже, спасибо

[thyrex]

И остальные логи тоже не забудьте прихватить

[bizt]

высылаю новые логи и карнтин

[gjf]

- Выполните скрипт AVZ:

Код:

begin
 ExecuteRepair(1);
 RebootWindows(false);
end.

Система перезагрузится.
В обязательном порядке установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние обновления системы Windows и используемых программ.
Система перезагрузится.

[bizt]

Здравствуйте. Поставил третий сервиспак. после установки и во время первой загрузки система безопасности windows раз 7 ругнулась и заблокировала процесс svchost (ну,как я понял). после этого сделал логи, в карантине ничего не было. И еще до этого все время в корне диска С появлялись файлы типа khu, kht без расширенийи с нулевым размером и crcbc.exe, ddixsx.exe, giclzu.exe, lowlri.exe и тому подобные с размерами чуть более 700 мб. В-общем, я их вручную удалял, после их удаления и перезагрузки сеть и выход в инет восстанавливались

[thyrex]

с размерами чуть более 700 мб

Не многовато ли для одного файла

Компьютер в локальной сети? Диск С расшарен? Если это так, то вся эта гадость приходила к Вам из локальной сети.

[gjf]

Ничего вредоносного в логах не обнаружено.
Установите последние обновления системы и программ.

[bizt]

Компьютер в локальной сети? Диск С расшарен? Если это так, то вся эта гадость приходила к Вам из локальной сети.

Да. Диск С расшарен, локалка всего на 3 компьютера, но там тож антивирусы ведут себя спокойно, прогоню и их cureit-ом и avz, спасибо. Вопрос. Если создать логи на анализ, то нужно будет открыть новую ветку или в этой же можно будет отправлять?

Добавлено через 3 минуты

Ничего вредоносного в логах не обнаружено.
Установите последние обновления системы и программ.

Как я понял, данный компьютер чист. Спасибо за помощь

[Bratez]

Вопрос. Если создать логи на анализ, то нужно будет открыть новую ветку или в этой же можно будет отправлять?

Для других компьютеров - создавать отдельные темы.

[gjf]

Как я понял, данный компьютер чист. Спасибо за помощь

Про SP3 не забудьте. Он устраняет массу уязвимостей, из-за ряда которых Ваш компьютер опять может нахватать вирусов из сетки.

[bizt]

Да, сп3 уже стоял в последних логах, еще раз спасибо, господа

Добавлено через 2 минуты

Не многовато ли для одного файла

не знаю, ТС так показывал, я свойства не смотрел