Z-connect

**deepofrain** · 14.09.2009, 14:31

Доброго времени суток. Маюсь с зэконектом. Интернет у моего провайдера на комп приходит так: при сетевом подключении есть локалка только. В интернет попадаю с помощью впн-подключения. Месяц назад даже ругался с провом о падающем постоянно впне, пока не нашел в папке сетевых подключений ярлычок зконекта. Впн выпадал раз в минуту. Тогда вылечить не сомг, сделал откат системы.
Зконект до недавнего времени самоудалился.

Лечил каспером. доктор вебом. 2009 нортоном. Нортон не находил. Касперский находил некие файлы но обещал закончить процедуру после перезагрузки, так продолжалось бесконечно. Что делал доктор веб сейчас и не вспомню, В лвбом случае не лечил.

На данный момент, чтобы впн не падал, сделал переименование своего впна в зконект с предварительным удалением того соединения. Сам понимаю, что мера временная, откатывать постоянно систему не хочу, хочу найти решение проблемы. Удивлен что в сети нет пока огбщих заплаток или он не личится антивирусами.
С уважением к службе поддержки
Александр

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**AndreyKa** · 14.09.2009, 14:52

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\RECYCLER\S-1-5-21-8068493398-4926836244-531453793-8292\mwau.exe','');
 QuarantineFile('c:\windows\w7services.exe','');
 QuarantineFile('c:\dll32.exe','');
 DeleteFile('c:\dll32.exe');
 DeleteFile('c:\windows\w7services.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-8068493398-4926836244-531453793-8292\mwau.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Обновите базы AVZ!
Сделайте новые логи AVZ и приложите к этой теме.

**deepofrain** · 14.09.2009, 15:38

новые логи. пожалуйста.

**AndreyKa** · 14.09.2009, 15:54

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
ClearQuarantine;
 QuarantineFile('c:\windows\system32\winin2.exe','');
 QuarantineFile('c:\windows\system32\drivers\ddwin.exe','');
 DeleteFile('c:\windows\system32\drivers\ddwin.exe');
 DeleteFile('c:\windows\system32\winin2.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

**deepofrain** · 14.09.2009, 16:52

прикладываю новый лог.
карантин показывает что загружается но потом кажется сбрасывает, к сожалению
не знаю, залился ли новый (45 мегабайт) или нет.
сделал зеркало на народ
http://narod.ru/disk/13124154000/virus.zip.html

(в автозагрузке всплыли новыe процессы: lbtv.exe, winin.exe, ddwin.exe. в диспетчере задач плавают 14.scr и еще некоторые незнакомые процессы)
и
(нортон перестал автозапускаться)

.........

Результат загрузки
Ошибка загрузки. Данный файл уже был загружен

так что кажется все ок

**AndreyKa** · 14.09.2009, 17:24

Сообщение от deepofrain

45 мегабайт

Вы запускали скрипт сбора неопознанных файлов?

Поставьте надежный пароль на учетные записи с правами Администратора.
Установите обновления безопасности на Windows.
Очистите карантин.
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\LBTW.exe','');
 QuarantineFile('c:\windows\system32\86.scr','');
 QuarantineFile('c:\windows\system32\drivers\ddwin.exe','');
 QuarantineFile('c:\windows\system32\drivers\lbtw.exe','');
 DeleteFile('c:\windows\system32\drivers\lbtw.exe');
 DeleteFile('c:\windows\system32\drivers\ddwin.exe');
 DeleteFile('c:\windows\system32\86.scr');
 DeleteFile('C:\WINDOWS\system32\drivers\LBTW.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.

**deepofrain** · 14.09.2009, 20:02

скрипт неопознанных не запускал, кажется.
остальное сейчас сделаю

Добавлено через 2 часа 19 минут

файл карантина закачан, все прочие действия осуществил

**AndreyKa** · 14.09.2009, 22:26

Нортон заработал?
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

**deepofrain** · 14.09.2009, 23:00

заработал. устроил сейчас еще куритом большую проверку. много чего удалилось.
лог прикладываю

**vegas** · 15.09.2009, 01:09

Не все удалилось. Сделайте лог Gmer

**deepofrain** · 15.09.2009, 01:41

пожалуйста. и, кстати, спасибо за ненормированную помощь

**vegas** · 15.09.2009, 02:43

Выполните скрипт

Код:

begin
 SearchRootkit(true,true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\dqndjlpt.dll','');
 DeleteService('sqrvsg');
 DeleteFile('C:\WINDOWS\system32\dqndjlpt.dll');
 BC_ImportALL;
 BC_DeleteSvc('sqrvsg');
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(9);
 RebootWindows(true);
end.

Компьютер перезагрузится. Сохраните текст ниже как 12345.bat в ту же папку, где находится fbs33vvh.exe (gmer)

Код:

fbs33vvh.exe -del file "C:\WINDOWS\system32\dqndjlpt.dll"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@DisplayName"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@Type"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@Start"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@ErrorControl"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@ImagePath"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@ObjectName"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@Description"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg\Parameters"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg\Parameters@ServiceDll"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@DisplayName"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@Type"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@Start"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@ErrorControl"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@ImagePath" 
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@ObjectName"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@Description" 
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg\Parameters"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg\Parameters@ServiceDll"
fbs33vvh.exe reboot

И запустите 12345.bat
Компьютер перезагрузится
Карантин закачайте. Повторите логи virusinfo syscheck и gmer

**deepofrain** · 15.09.2009, 03:52

при запуске 12345батник сказал что dqndjlpt.dll отсутствует.
логи прикладываю.
про карантин: начался другой день и в окне карантина теперь две папочки:
- 0914
и 09-15
в первой есть те файлы что уже закачивал ранее, как я понимаю.
а свеженькая пустая.
отсюда вопрос: что удалить и что сделать чтобы появился новый нужный файл карантина

**vegas** · 15.09.2009, 12:24

Карантины поудаляйте, новый батник для гмера

Код:

fbs33vvh.exe -killall
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@DisplayName"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@Type"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@Start"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@ErrorControl"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@ImagePath"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@ObjectName"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@Description"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@DisplayName"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@Type"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@Start"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@ErrorControl"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@ImagePath" 
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@ObjectName"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@Description" 
fbs33vvh.exe reboot

Повторите логи

**deepofrain** · 16.09.2009, 00:29

прикладываю логи

**deepofrain** · 16.09.2009, 12:10

и еще вопрос. должен ли батник гмера выдавать какие-то ошибки во время выполнения , при которых рпиходится неоднократно нажимать ок, принмая его уведомления что такой файл или сценарий отсутствует? просто делал два раза бат на данныый момент и ситуацияч схожая, а как должно быть я и не знаю.

**pig** · 16.09.2009, 20:38

Ошибки возможны.

**thyrex** · 16.09.2009, 22:09

Сохраните текст ниже как cleanup.bat в ту же папку, где находится fbs33vvh.exe (gmer)

Код:

fbs33vvh.exe -del service sqrvsg
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg"
fbs33vvh.exe -reboot

И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

**deepofrain** · 17.09.2009, 00:04

пожалуйста

**thyrex** · 17.09.2009, 00:13

Теперь чисто

Z-connect (заявка № 54722)

Опции темы

Z-connect

Антивирусная помощь

Антивирусная помощь

Похожие темы

Помогите, вирус x-connect и z-connect

Вирус a-connect (сегодня уже z-connect), пожалуйста, помогите.

z-connect и x-connect, подскажите что делать

опять-таки атаки i-connect и z-connect

вирусы z-connect, i-connect

Метки для этой темы

Ваши права в разделе