Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Вирус z-connect (заявка № 48531)

  1. #1
    Junior Member Репутация
    Регистрация
    05.04.2009
    Сообщений
    54
    Вес репутации
    29

    Thumbs up Вирус z-connect

    Здравствуйте. Вот появился вирус не могу удалить размножаться по диску С ( создаёт файл с названием l который нужно постоянно удалять чтоб не создалось подключение z-connect ) . Помогите пожалуйста:
    Последний раз редактировалось lordenas; 25.10.2009 в 11:18.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Закройте все программы.
    Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     DeleteService('MRSVSS Service');
     QuarantineFile('c:\windows\winsvc32.exe','');
     QuarantineFile('c:\windows\system\mrsvss.exe','');
     DeleteFile('c:\windows\system\mrsvss.exe');
     DeleteFile('C:\DOCUME~1\Lord^\LOCALS~1\Temp\Rar$DI00.828\TUNNEL~1.SCR');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

    Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

  4. #3
    Junior Member Репутация
    Регистрация
    05.04.2009
    Сообщений
    54
    Вес репутации
    29
    Вроде z-connect пропал но файлы с названием l еще создаются проверьте пожалуйста
    Последний раз редактировалось lordenas; 25.10.2009 в 11:18.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Password Door вы сами установили?

    Закройте все программы. Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
    ClearQuarantine;
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\S56IHHW6\i[1].exe');
     DeleteFile('C:\WINDOWS\system32\04.scr');
     DeleteFile('C:\WINDOWS\system32\13.scr');
     DeleteFile('C:\WINDOWS\system32\72.scr');
     DeleteFile('C:\WINDOWS\system32\75.scr');
     DeleteFile('C:\WINDOWS\winsvc32.exe');
     DeleteFile('C:\WINDOWS\system\mrsvss.exe');
     DeleteFile('c:\windows\system\mrsvss.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Обновите базы AVZ.
    Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

    Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519

  6. #5
    Junior Member Репутация
    Регистрация
    05.04.2009
    Сообщений
    54
    Вес репутации
    29
    Извините что долго не отвечал свет выключили... А что такое pasword Door это что теперь все мои пароли знают??
    Последний раз редактировалось lordenas; 25.10.2009 в 11:18.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Проглядел один файлик и он всю компанию обратно притянул.
    Закройте все программы. Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteService('MRSVSS Service');
     DeleteFile('c:\windows\system\mrsvss.exe');
     DeleteFile('c:\windows\tstray.exe');
     DeleteFile('C:\WINDOWS\system\mrsvss.exe');
     DeleteFile('C:\WINDOWS\tstray.exe');
     DeleteFile('winsvc32.exe');
     DeleteFile('C:\WINDOWS\system32\86.scr');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\6DZIGHCP\i[1].exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

    Password Door: http://www.cwer.ru/password_door_v8_4_2_rus

  8. #7
    Junior Member Репутация
    Регистрация
    05.04.2009
    Сообщений
    54
    Вес репутации
    29
    как я уже говорил на диске С создаётся какой то то файл "l"
    Последний раз редактировалось lordenas; 25.10.2009 в 11:18.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    В логах чисто.

  10. #9
    Junior Member Репутация
    Регистрация
    05.04.2009
    Сообщений
    54
    Вес репутации
    29
    А что делать с тем файлом который удаляешь а он сам восстанавливаться? это вирус? может его выслать вам)))

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Высылайте.

  12. #11
    Junior Member Репутация
    Регистрация
    05.04.2009
    Сообщений
    54
    Вес репутации
    29
    Вот Отписался в теме которой вы говорили "Для всех желающих нам помочь" Вот результат проверки:
    Кстати не могу включить опцию "Отображать скрытые файлы и папки"


    Архив 090623_161015_virusinfo_files_LORD-F819C03117_4a40c6270f03d.zip, загружен 23.06.2009 16:40:15, размер 1869759 байт
    Всего файлов: 13 (исполняемых 13), из них:
    зловреды или опасные объекты: 2
    подозрительные: 0
    занесены в базу безопасных AVZ: 1
    В очереди на добавление в базу безопасных:
    высокий приоритет: 5
    обычный приоритет: 5
    Внимание, в архиве обнаружены опасные или вредоносные объекты:
    c:\l.exe: Net-Worm.Win32.Kolab.cue
    c:\windows\system\mrsvss.exe: Net-Worm.Win32.Kolab.cue

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Поставьте надежный пароль на учетные записи с правами Администратора.
    Установите обновления безопасности на Windows.
    Начать лучше с Service Pack 3 на Windows (может потребоваться активация).

  14. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    + для восстановления отображения скрытых файлов

    Выполните скрипт в AVZ
    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(8);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  15. #14
    Junior Member Репутация
    Регистрация
    05.04.2009
    Сообщений
    54
    Вес репутации
    29
    thyrex скрипт не помог . А есть другие способы кроме обновления системы... 100% потребует активации... Как только перехожу на обновления баз mozila выдаёт ошибку... И при запуске компьютера стало появляться окошко RegSvr32

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Давайте логи по новой.

  17. #16
    Junior Member Репутация
    Регистрация
    05.04.2009
    Сообщений
    54
    Вес репутации
    29
    thyrex извиняюсь всё таки скрипт помог)) И опять появился z-connect я создал нормальное подключение с таким же названием))) В моём компьютере появился раздел Мои Веб папки) Вот логи и вирус.
    Последний раз редактировалось lordenas; 25.10.2009 в 11:18.

  18. #17
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Уберите зараженный файл из вложений

    Пофиксить в HiJack
    Код:
     R3 - URLSearchHook: (no name) -  - (no file)
    O4 - HKLM\..\Run: [Windows Virtual Manager] vmnat.exe
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\tstray.exe','');
     QuarantineFile('C:\WINDOWS\system32\77.scr','');
     QuarantineFile('C:\WINDOWS\system32\21.scr','');
     QuarantineFile('C:\WINDOWS\system32\16.scr','');
     QuarantineFile('C:\WINDOWS\system32\13.scr','');
     QuarantineFile('C:\WINDOWS\system32\12.scr','');
     QuarantineFile('C:\WINDOWS\system32\08.scr','');
     QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\S56IHHW6\i[1].exe','');
     DeleteService('MRSVSS Service');
     QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
     QuarantineFile('c:\windows\vmnat.exe','');
     TerminateProcessByName('c:\windows\system\mrsvss.exe');
     QuarantineFile('c:\windows\system\mrsvss.exe','');
     DeleteFile('c:\windows\system\mrsvss.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\S56IHHW6\i[1].exe');
     DeleteFile('C:\WINDOWS\system32\08.scr');
     DeleteFile('C:\WINDOWS\system32\12.scr');
     DeleteFile('C:\WINDOWS\system32\13.scr');
     DeleteFile('C:\WINDOWS\system32\16.scr');
     DeleteFile('C:\WINDOWS\system32\21.scr');
     DeleteFile('C:\WINDOWS\system32\77.scr');
     DeleteFile('C:\WINDOWS\tstray.exe');
    DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); 
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Цитата Сообщение от lordenas
    А есть другие способы кроме обновления системы... 100% потребует активации...
    Есть, установите антивирус, который детектирует вашего "друга":
    http://www.virustotal.com/ru/analisi...ba9-1245804398

  20. #19
    Junior Member Репутация
    Регистрация
    05.04.2009
    Сообщений
    54
    Вес репутации
    29
    Файл l перестал создаваться. Кстати входе проверки выполнения скрипта avz заметил в строке C:\WINDOWS\system32\TLPD.DLL --> Подозрение на Keylogger или троянскую DLL..... Что делать с этим) или это не вирус)
    Последний раз редактировалось lordenas; 25.10.2009 в 11:18.

  21. #20
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Ответ по вчерашнему карантину (неполный)
    04.scr_, 13.scr_, i[1].exe_, tstray.exe_ - Net-Worm.Win32.Kolab.cvf
    Детектирование файлов будет добавлено в следующее обновление.

    TLPD.DLL
    Вредоносный код в файлах не обнаружен.
    Пофиксить в HiJack
    Код:
    O4 - HKCU\..\Run: [swg] C:\WINDOWS\system32\regsvr32.exe
    Подождем ответ про этот файл - c:\windows\vmnat.exe
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  • Уважаемый(ая) lordenas, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите, вирус x-connect и z-connect
      От Ксюшенция в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.11.2009, 21:12
    2. Ответов: 25
      Последнее сообщение: 30.10.2009, 22:23
    3. вирус z-connect
      От Аниса в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.08.2009, 11:47
    4. вирус z-connect
      От odess в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 25.08.2009, 23:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00817 seconds with 21 queries