z-connecct

**cnaiper** · 31.08.2009, 20:31

Подключившись к интернету, подключение держится секунд 20 и "падает".
В папке сетевых подключений появилось подключение "Z-connect", удаляется, но при перезагрузке появляется вновь..
подозрительные файлы:
C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\IA90VFUI\jf[1].exe
C:\DOCUME~1\Admin\LOCALS~1\Temp\521.exe
C:\WINDOWS\expaende.exe
помогите

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Aleksandra** · 31.08.2009, 20:40

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\expaende.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-9844717059-9951304426-221323710-9532\mwau.exe,explorer.exe,C:\RECYCLER\S-1-5-21-9097451259-4475198792-658066704-1634\mwau.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-9844717059-9951304426-221323710-9532\mwau.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-9844717059-9951304426-221323710-9532\mwau.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-9844717059-9951304426-221323710-9532\mwau.exe,explorer.exe,C:\RECYCLER\S-1-5-21-9097451259-4475198792-658066704-1634\mwau.exe');
 DeleteFile('C:\WINDOWS\expaende.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=53355

3. Повторите логи.

**cnaiper** · 31.08.2009, 21:19

не помогло авст нашел 2 вируса , но инет пока работает
C:\DOCUME~1\Admin\LOCALS~1\Temp\911.exe
C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\WE3A4J6B\jf[1].exe

Добавлено через 8 минут

надиске С появилось 2 файла
b4v9m7s9p9i3.exe
bb.exe

в system32
33.scr
35.scr
46.scr
76.scr

в Temp 013.exe
в
Temporary Internet Files
bb.exe
e3.exe
jf.exe

**Aleksandra** · 31.08.2009, 21:28

Сообщение от cnaiper

не помогло авст нашел 2 вируса , но инет пока работает

При выполнении скрипта антивирус нужно было отключить. Сделайте полный комплект логов по правилам. Логов должно быть три (virusinfo_syscure, virusinfo_syscheck, hijackthis). Вы в первом посте прицепили карантин virusinfo_cure. Так что будьте внимательнее!

**cnaiper** · 31.08.2009, 21:34

в system32
26.scr
Temporary Internet Files еще 2 файла
brown.jpg
number. asp
также в автозагрузке появился С: \WINDOWS\system32\drivers\LBTWiz. exe

ничего не помогло

http://virusinfo.info/pravila.html
....
*Обратите внимание! Если в результате работы скрипта будут обнаружены подозрительные файлы, они будут сохранены в архиве virusinfo_cure.zip. Этот архив необходимо отличать от архива с протоколом исследования системы virusinfo_syscure.zip
......
вложите в сообщение файлы логов, полученных в процессе диагностики (AVZ - virusinfo_syscure.zip, AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log) - всего должно быть 3 лога....

**Rene-gad** · 31.08.2009, 23:20

Мыслью по древу не растекаться, на вопросы, которые не задают, не отвечать!!!
Запрошенные логи прикрепить к сообщению с комментарием: ЛОГИ

Пролечитесь от файловых вирусов: http://virusinfo.info/showthread.php?t=15927.
Сделайте лог полного сканирования MBAM.
Сделайте лог GMER.
Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

**cnaiper** · 01.09.2009, 19:17

Вылажую логи

ответьте хоть кто-нибудь

Добавлено через 7 минут

и еще я переустанавливал ОС не помогло

**Aleksandra** · 01.09.2009, 19:47

М да... В логах не густо. Пролечитесь так http://virusinfo.info/showpost.php?p=433671&postcount=3 и по окончанию лечения прикрепите лог работы VBA32.

**Rene-gad** · 01.09.2009, 19:50

Ну вот, уже прогресс налицо

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\drivers\explorer.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-3838839562-6754416187-171567947-6036\mwau.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-3838839562-6754416187-171567947-6036\mwau.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\explorer.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

**cnaiper** · 01.09.2009, 20:15

сделал все как сказали аваст сразу подхватил около 10 вирусов

**Rene-gad** · 01.09.2009, 20:19

Сообщение от cnaiper

аваст сразу подхватил около 10 вирусов

Причем тут Аваст? Вы сообщение 8 прочитали и все сделали? Что-то очень быстро все получилось...

**cnaiper** · 01.09.2009, 20:30

сделал все как говорили, продолжу завтра т.к. вызвали на работу,
только в контекстном меню папки RECYCLER нет функции очистить корзину, а в папке много чего...
Пожалуйста напишите все по пунктах для тупых, а я завта продолжу , зарание спасибо за помощь.

**Rene-gad** · 01.09.2009, 20:31

Сообщение от Aleksandra

Пролечитесь так http://virusinfo.info/showpost.php?p=433671&postcount=3 и по окончанию лечения прикрепите лог работы VBA32.

где лог???

**cnaiper** · 02.09.2009, 20:33

куда выложить лог VBA32. он у меня з мега байта?

**Белый Сокол** · 02.09.2009, 20:34

Либо сюда, либо на какой-нибудь файлообменник.

**cnaiper** · 03.09.2009, 12:31

точне 2,78 Mb

Добавлено через 8 минут

я выложил
http://file.for-smart.ru/jj7cdch4l5dm.html

Добавлено через 1 минуту

или вот http://rapidshare.com/files/274760610/vba32.zip.html

Добавлено через 6 минут

очень-очень жду помощи, работать не возможно в инете ...

Добавлено через 6 минут

По очериди появляються процессы:
C:\WINDOWS\system32\drivers\LBTWiz.exe
C:\DOCUME~1\Admin\LOCALS~1\Temp\911.exe
C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\WE3A4J6B\jf[1].exe
C:\WINDOWS\expaende.exe
C:\WINDOWS\system32\drivers\explorer.exe
C:\b4v9m7s9p9i3.exe

Добавлено через 12 минут

Причем очень странно если посмотреть в диспетче задач эти процессы LBTWiz.exe,expaende.exe или explorer.exe то по имени пользователя , то SYSTEM.

Добавлено через 11 часов 5 минут

а через сколько ждать приблизительно помощи?

Добавлено через 12 минут

Ау-у-у ответьте?

Добавлено через 4 часа 3 минуты

блин, ну помогите хоть кто- нибудь

**Белый Сокол** · 03.09.2009, 14:28

Делайте новые логи AVZ. Посмотрим, что там получилось после сканирования.

**cnaiper** · 03.09.2009, 15:00

Должен предупредить логи сделаны после:
1) Критических обновлений для Windows:
KB957097 – обновление системы безопасности
KB958644 – обновление системы безопасности
KB958687 – обновление системы безопасности
2) удаления временных файлов
3) сканарования по очереди в безопасном режиме Dr. Web Cureit, kkiler, S.T.I.N.G.E.R
Пока прошло 15 мин инет работает, но это конечно не показатель

**Белый Сокол** · 03.09.2009, 15:04

Вы вместо одного из логов карантин прицепили, будьте внимательнее

Жду лог syscure.

**cnaiper** · 03.09.2009, 15:15

постоянно их путаю извеняюсь

z-connecct (заявка № 53355)

Опции темы

z-connecct

Метки для этой темы

Ваши права в разделе