Здравствуйте. Вот появился вирус не могу удалить размножаться по диску С ( создаёт файл с названием l который нужно постоянно удалять чтоб не создалось подключение z-connect ) . Помогите пожалуйста:
Здравствуйте. Вот появился вирус не могу удалить размножаться по диску С ( создаёт файл с названием l который нужно постоянно удалять чтоб не создалось подключение z-connect ) . Помогите пожалуйста:
Последний раз редактировалось lordenas; 25.10.2009 в 11:18.
Закройте все программы.
Запустите AVZ. Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); DeleteService('MRSVSS Service'); QuarantineFile('c:\windows\winsvc32.exe',''); QuarantineFile('c:\windows\system\mrsvss.exe',''); DeleteFile('c:\windows\system\mrsvss.exe'); DeleteFile('C:\DOCUME~1\Lord^\LOCALS~1\Temp\Rar$DI00.828\TUNNEL~1.SCR'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
Вроде z-connect пропал но файлы с названием l еще создаются проверьте пожалуйста
Последний раз редактировалось lordenas; 25.10.2009 в 11:18.
Password Door вы сами установили?
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); ClearQuarantine; DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\S56IHHW6\i[1].exe'); DeleteFile('C:\WINDOWS\system32\04.scr'); DeleteFile('C:\WINDOWS\system32\13.scr'); DeleteFile('C:\WINDOWS\system32\72.scr'); DeleteFile('C:\WINDOWS\system32\75.scr'); DeleteFile('C:\WINDOWS\winsvc32.exe'); DeleteFile('C:\WINDOWS\system\mrsvss.exe'); DeleteFile('c:\windows\system\mrsvss.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Обновите базы AVZ.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519
Извините что долго не отвечал свет выключили... А что такое pasword Door это что теперь все мои пароли знают??
Последний раз редактировалось lordenas; 25.10.2009 в 11:18.
Проглядел один файлик и он всю компанию обратно притянул.
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); DeleteService('MRSVSS Service'); DeleteFile('c:\windows\system\mrsvss.exe'); DeleteFile('c:\windows\tstray.exe'); DeleteFile('C:\WINDOWS\system\mrsvss.exe'); DeleteFile('C:\WINDOWS\tstray.exe'); DeleteFile('winsvc32.exe'); DeleteFile('C:\WINDOWS\system32\86.scr'); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\6DZIGHCP\i[1].exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
Password Door: http://www.cwer.ru/password_door_v8_4_2_rus
как я уже говорил на диске С создаётся какой то то файл "l"
Последний раз редактировалось lordenas; 25.10.2009 в 11:18.
В логах чисто.
А что делать с тем файлом который удаляешь а он сам восстанавливаться? это вирус? может его выслать вам)))
Вот Отписался в теме которой вы говорили "Для всех желающих нам помочь" Вот результат проверки:
Кстати не могу включить опцию "Отображать скрытые файлы и папки"
Архив 090623_161015_virusinfo_files_LORD-F819C03117_4a40c6270f03d.zip, загружен 23.06.2009 16:40:15, размер 1869759 байт
Всего файлов: 13 (исполняемых 13), из них:
зловреды или опасные объекты: 2
подозрительные: 0
занесены в базу безопасных AVZ: 1
В очереди на добавление в базу безопасных:
высокий приоритет: 5
обычный приоритет: 5
Внимание, в архиве обнаружены опасные или вредоносные объекты:
c:\l.exe: Net-Worm.Win32.Kolab.cue
c:\windows\system\mrsvss.exe: Net-Worm.Win32.Kolab.cue
Поставьте надежный пароль на учетные записи с правами Администратора.
Установите обновления безопасности на Windows.
Начать лучше с Service Pack 3 на Windows (может потребоваться активация).
+ для восстановления отображения скрытых файлов
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ExecuteRepair(6); ExecuteRepair(8); RebootWindows(true); end.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
thyrex скрипт не помог . А есть другие способы кроме обновления системы... 100% потребует активации... Как только перехожу на обновления баз mozila выдаёт ошибку... И при запуске компьютера стало появляться окошко RegSvr32
Давайте логи по новой.
thyrex извиняюсь всё таки скрипт помог)) И опять появился z-connect я создал нормальное подключение с таким же названием))) В моём компьютере появился раздел Мои Веб папки) Вот логи и вирус.
Последний раз редактировалось lordenas; 25.10.2009 в 11:18.
Уберите зараженный файл из вложений
Пофиксить в HiJack
Выполните скрипт в AVZКод:R3 - URLSearchHook: (no name) - - (no file) O4 - HKLM\..\Run: [Windows Virtual Manager] vmnat.exe
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\tstray.exe',''); QuarantineFile('C:\WINDOWS\system32\77.scr',''); QuarantineFile('C:\WINDOWS\system32\21.scr',''); QuarantineFile('C:\WINDOWS\system32\16.scr',''); QuarantineFile('C:\WINDOWS\system32\13.scr',''); QuarantineFile('C:\WINDOWS\system32\12.scr',''); QuarantineFile('C:\WINDOWS\system32\08.scr',''); QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\S56IHHW6\i[1].exe',''); DeleteService('MRSVSS Service'); QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys',''); QuarantineFile('c:\windows\vmnat.exe',''); TerminateProcessByName('c:\windows\system\mrsvss.exe'); QuarantineFile('c:\windows\system\mrsvss.exe',''); DeleteFile('c:\windows\system\mrsvss.exe'); DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys'); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\S56IHHW6\i[1].exe'); DeleteFile('C:\WINDOWS\system32\08.scr'); DeleteFile('C:\WINDOWS\system32\12.scr'); DeleteFile('C:\WINDOWS\system32\13.scr'); DeleteFile('C:\WINDOWS\system32\16.scr'); DeleteFile('C:\WINDOWS\system32\21.scr'); DeleteFile('C:\WINDOWS\system32\77.scr'); DeleteFile('C:\WINDOWS\tstray.exe'); DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Есть, установите антивирус, который детектирует вашего "друга":Сообщение от lordenas
http://www.virustotal.com/ru/analisi...ba9-1245804398
Файл l перестал создаваться. Кстати входе проверки выполнения скрипта avz заметил в строке C:\WINDOWS\system32\TLPD.DLL --> Подозрение на Keylogger или троянскую DLL..... Что делать с этим) или это не вирус)
Последний раз редактировалось lordenas; 25.10.2009 в 11:18.
Ответ по вчерашнему карантину (неполный)
Пофиксить в HiJack04.scr_, 13.scr_, i[1].exe_, tstray.exe_ - Net-Worm.Win32.Kolab.cvf
Детектирование файлов будет добавлено в следующее обновление.
TLPD.DLL
Вредоносный код в файлах не обнаружен.
Подождем ответ про этот файл - c:\windows\vmnat.exeКод:O4 - HKCU\..\Run: [swg] C:\WINDOWS\system32\regsvr32.exe
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Уважаемый(ая) lordenas, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.