z-connect
Проблема, этот злой вирус создает подключение z-connect в папке с подключениями.
И через 10 секунд инет меня выкидывает(
Я почитал на форуме про такие же проблемы и выяснил что для каждого компа нужен свой скрипт(
Вирус z-connect
z-connect
Проблема, этот злой вирус создает подключение z-connect в папке с подключениями.
И через 10 секунд инет меня выкидывает(
Я почитал на форуме про такие же проблемы и выяснил что для каждого компа нужен свой скрипт(
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скачайте CureUt! и сохраните его на диск (не на рабочий стол).
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DelCLSID('08B0E5C0-4FCB-11CF-AAX5-00401C608512'); QuarantineFile('C:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\system32.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-2026320516-8757072859-738546703-9832\csvcs.exe',''); TerminateProcessByName('c:\windows\mslsrv32.exe'); QuarantineFile('c:\windows\mslsrv32.exe',''); TerminateProcessByName('c:\windows\mcdrive32.exe'); QuarantineFile('c:\windows\mcdrive32.exe',''); TerminateProcessByName('c:\windows\system32\csrcs.exe'); QuarantineFile('c:\windows\system32\csrcs.exe',''); DeleteFile('c:\windows\system32\csrcs.exe'); DeleteFile('c:\windows\mcdrive32.exe'); DeleteFile('c:\windows\mslsrv32.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-2026320516-8757072859-738546703-9832\csvcs.exe'); DeleteFile('C:\WINDOWS\mslsrv32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman'); DeleteFile('C:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\system32.exe'); DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwconn2.exe'); DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe'); BC_ImportAll; ExecuteRepair(13); ExecuteRepair(9); ExecuteSysclean; BC_Activate; RebootWindows(true); end.
При загрузке жмите F8, чтобы попасть в меню загрузки. Там выберите "Безопасный режим". В этом режиме проведите полную проверку при помощи сохраненного CureIt!
После перезагрузки пришлите попавшие в карантин AVZ файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
Сделайте новые логи AVZ.
Я загрузил вам файл, щас зделаю скрипт.
Файл сохранён как 090827_224553_virusinfo_cure_4a96d461d8105.zip
Последний раз редактировалось San4ik158; 27.08.2009 в 23:27.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); QuarantineFile('C:\WINDOWS\system32\csrcs.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-9929713210-0234255149-053893909-9350\csvcs.exe',''); TerminateProcessByName('c:\windows\win7service.exe'); QuarantineFile('c:\windows\win7service.exe',''); TerminateProcessByName('c:\windows\mcdrive32.exe'); QuarantineFile('c:\windows\mcdrive32.exe',''); TerminateProcessByName('c:\dll32.exe'); QuarantineFile('c:\dll32.exe',''); DeleteFile('c:\dll32.exe'); DeleteFile('c:\windows\mcdrive32.exe'); DeleteFile('c:\windows\win7service.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-9929713210-0234255149-053893909-9350\csvcs.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); ExecuteRepair(16); RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот новые скрипты!
КарантинСообщение от San4ik158
Файл сохранён как 090909_232932_virus_4aa8021c7dee2.zip
Добавлено через 4 минуты
Посоветуйте какой антивирус мне лучше поставить на ПК?
Последний раз редактировалось San4ik158; 09.09.2009 в 23:35. Причина: Добавлено
Выполните скрипт:
Система перезагрузится. После перезагрузки загрузите карантин в соответствии с правилами, и повторите процедуру диагностики.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\LBTWiz.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\ati2evxx.exe',''); QuarantineFile('C:\WINDOWS\mslsrv32.exe',''); QuarantineFile('C:\WINDOWS\expaende.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1137473042-9885836606-049896126-0888\mwau.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-2495711392-7464102446-861000963-6085\csvcs.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe',''); QuarantineFile('c:\windows\system32\drivers\notepad.exe',''); QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\*.*','') QuarantineFile('C:\WINDOWS\system32\??.scr','') QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\*.exe','') DeleteFile('c:\windows\system32\drivers\notepad.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-2495711392-7464102446-861000963-6085\csvcs.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1137473042-9885836606-049896126-0888\mwau.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe'); DeleteFile('C:\WINDOWS\expaende.exe'); DeleteFile('C:\WINDOWS\mslsrv32.exe'); DeleteFile('C:\WINDOWS\system32\drivers\ati2evxx.exe'); DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5','*.*',true); DeleteFileMask('C:\WINDOWS\system32','??.scr',false); DeleteFileMask('C:\Documents and Settings\Администратор\Local Settings\Temp','*.*',true); BC_ImportALL; ExecuteSysClean; ClearHostsFile; BC_Activate; RebootWindows(true); end.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Не могу использовать!Пишет....Ошибка скрипта: ';' expected, позиция 15:2
Подкорректировано...
Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\LBTWiz.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\ati2evxx.exe',''); QuarantineFile('C:\WINDOWS\mslsrv32.exe',''); QuarantineFile('C:\WINDOWS\expaende.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1137473042-9885836606-049896126-0888\mwau.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-2495711392-7464102446-861000963-6085\csvcs.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe',''); QuarantineFile('c:\windows\system32\drivers\notepad.exe',''); QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\*.*',''); QuarantineFile('C:\WINDOWS\system32\??.scr',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\*.exe',''); DeleteFile('c:\windows\system32\drivers\notepad.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-2495711392-7464102446-861000963-6085\csvcs.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1137473042-9885836606-049896126-0888\mwau.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe'); DeleteFile('C:\WINDOWS\expaende.exe'); DeleteFile('C:\WINDOWS\mslsrv32.exe'); DeleteFile('C:\WINDOWS\system32\drivers\ati2evxx.exe'); DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5','*.*',true); DeleteFileMask('C:\WINDOWS\system32','??.scr',false); DeleteFileMask('C:\Documents and Settings\Администратор\Local Settings\Temp','*.*',true); BC_ImportALL; ExecuteSysClean; ClearHostsFile; BC_Activate; RebootWindows(true); end.
Вылечено!Спасибо огромное!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Теперь
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\csrcs.exe - Packed.Win32.Klone.bj ( DrWEB: Win32.HLLW.Autohit.9855 )
Уважаемый(ая) San4ik158, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
