Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

z-connect (заявка № 52644)

  1. #1
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    11
    Вес репутации
    27

    Exclamation z-connect

    Подцепил где-то этот вирус. Вирус (примерно раз в одну-две минуты) рвёт соединение с инетом, создаёт новое подключение (со своим именем) в папке "Сетевые подключения", пытается соединиться с инетом сам.
    После простого удаления из этой папки восстанавливается самостоятельно.
    Прошу помочь с решением этой проблемы.

    Сделал всё, как в сказано в "Правилах", вот только не получилось в "карантин" ничего скопировать: после выполнения действия "Добавление в карантин по списку" при просмотре карантина там только пустая папка с именем сегодняшней даты.
    Поэтому прикреплю фалы вручную к письму, а если так не годится - пожалуйста, объясните, что не так сделал.

    С уважением, Дима.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.

    -Пофиксите
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\Regvi.exe
    O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
    O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
    O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
    -Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('%windir%\system32\drivers\Regvi.exe','');
     QuarantineFile('Explorer.exe %windir%\system32\drivers\Regvi.exe','');
     QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
     QuarantineFile('C:\RECYCLER\S-51-9-25-3434476501-1644491960-601003312-1214\sysmon.exe','');
     DeleteFile('C:\RECYCLER\S-51-9-25-3434476501-1644491960-601003312-1214\sysmon.exe');
     DeleteFile('C:\WINDOWS\system32\csrcs.exe');
     DeleteFile('Explorer.exe %windir%\system32\drivers\Regvi.exe');
     DeleteFile('%windir%\system32\drivers\Regvi.exe');
     DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    BC_DeleteSvc('');
    ExecuteRepair(17);
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Удалите Bonjour.
    - Удалите TuneUp.
    - Очистите темп-папки, кэш проводников и корзину.
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

    Добавлено через 1 минуту

    Цитата Сообщение от Xoxa Посмотреть сообщение
    Сделал всё, как в сказано в "Правилах", вот только не получилось в "карантин" ничего скопировать: после выполнения действия "Добавление в карантин по списку" при просмотре карантина там только пустая папка с именем сегодняшней даты.
    Не бегите поперед батька в пекло ©
    Последний раз редактировалось Rene-gad; 21.08.2009 в 15:57. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    11
    Вес репутации
    27
    Новое сообщение:
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    что с проблемами?

  6. #5
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    11
    Вес репутации
    27
    На какое-то время вирус исчез, но потом снова появился. Может, это повторно инфицировался из локальной сети? (Хотя ничего с локалки не качал)

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    А он и будет появляться. Пока не пропатчите надлежащим образом систему.
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    - Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
    Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    MSIE: Internet Explorer v7.00 (7.00.5730.0011)
    - Установите IE 8.

    Потом - логи по правилам.

  8. #7
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    11
    Вес репутации
    27
    Установил Сервис Пак 3, эксплорер 8, логи:
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\RECYCLER\S-51-9-25-3434476501-1644491960-601003312-1214\sysmon.exe','');
     DeleteFile('C:\RECYCLER\S-51-9-25-3434476501-1644491960-601003312-1214\sysmon.exe');
    DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам.
    Повторите логи.

  10. #9
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    11
    Вес репутации
    27
    Новые логи:
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 26.08.2009 в 11:07.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    200
    Жалобы есть?
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  12. #11
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    11
    Вес репутации
    27
    Да, вирус по-прежнему живой.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    200
    Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
    - скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
    - нажмите No, если вы хотите оставить ваши сохраненные пароли.
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected.
    - нажмите No, если вы хотите оставить ваши сохраненные пароли.

    Сделайте лог гмер по правилам http://virusinfo.info/showthread.php?t=40118
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  14. #13
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    11
    Вес репутации
    27
    Лог гмера:
    Вложения Вложения
    • Тип файла: log gmer.log (22.7 Кб, 3 просмотров)

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    - Сделайте лог MBAM.

  16. #15
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    11
    Вес репутации
    27
    Пишет "Unicode systems are currently not supported"

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от Xoxa Посмотреть сообщение
    Пишет "Unicode systems are currently not supported"
    Это что-то новенькое Вы файл mbam-setup.exe скачали?

  18. #17
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    11
    Вес репутации
    27
    Похоже, изначально не ту программу установил. А теперь, впроде, ту) Лог:
    Вложения Вложения

  19. #18
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,626
    Вес репутации
    2917
    Вот это надо удалить
    Код:
    Заражено файлов:
    C:\RECYCLER\S-51-9-25-3434476501-1644491960-601003312-1214\sysmon.exe (Generic.Bot.H) -> No action taken.
    C:\Documents and Settings\Администратор\q9h3g1d9e4g3.exe (Backdoor.Bot) -> No action taken.
    C:\Documents and Settings\Администратор\Мои документы\Зет конекшн\avz4_2\avz4\Quarantine\2009-08-25\avz00001.dta (Backdoor.Bot) -> No action taken.
    C:\RECYCLER\S-51-9-25-3434476501-1644491959-601003312-1214\msreg.exe (Worm.AutoRun) -> No action taken.
    C:\Documents and Settings\Администратор\t9d2a1l6q2e1.exe (Worm.Autorun) -> No action taken.
    Запустите программу, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и прикрепите его к сообщению.

    Что касается остального содержимого этой части лога, на Ваше усмотрение
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  20. #19
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    11
    Вес репутации
    27
    Ну, вроде с вирусом всё, вот только теперь две новости странных появилось: 1)При загрузке винды всплывает мастер установки чего-то,жуму "Отмена", и закрывается. 2) При включении флешки пишет "отказано в доступе", хотя она проверялась на вирусы наряду со всеми, и при помощи ACDC всё-таки открыть файлы с неё возможно. В чём тут дела?

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    DeleteFile('c:\RECYCLER\S-51-9-25-3434476501-1644491960-601003312-1214\sysmon.exe');
    ExecuteSysClean;
    DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
    SetAVZPMStatus(false);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Если "неизвестное устройство" опять появится - удалите его в Диспетчере устройств.

    Повторите лог по п.2 Диагностики.
    I am not young enough to know everything...

  • Уважаемый(ая) Xoxa, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите, вирус x-connect и z-connect
      От Ксюшенция в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.11.2009, 21:12
    2. Ответов: 25
      Последнее сообщение: 30.10.2009, 22:23
    3. z-connect и x-connect, подскажите что делать
      От yanktank в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 05.09.2009, 22:34
    4. опять-таки атаки i-connect и z-connect
      От Sopromat в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 25.06.2009, 19:10
    5. вирусы z-connect, i-connect
      От stall44 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.03.2009, 14:23

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00516 seconds with 24 queries