В данный момент мучает вирус z-connect (Отключение соеденения с интернетом)
Т.к универсального способа лечения нету, обращаюсь к вам...
Логи прикреплены.
Если заметите что то подозрительное кроме z-connect, мб тоже вылечите
В данный момент мучает вирус z-connect (Отключение соеденения с интернетом)
Т.к универсального способа лечения нету, обращаюсь к вам...
Логи прикреплены.
Если заметите что то подозрительное кроме z-connect, мб тоже вылечите
Последний раз редактировалось Winter Chaos; 11.12.2009 в 17:11.
Скачайте AVZ 4.32, обновите базы.
Пофиксите в Hijackthis:
Отключите компьютер от интернета, а также антивирус и/или файрвол.Код:R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: (no name) - {8FD8DE27-05DA-4660-8F34-562AD6F97478} - (no file) O2 - BHO: {002b8070-4bf5-6cda-ee74-51dc5e19210b} - {b01291e5-cd15-47ee-adc6-5fb40708b200} - (no file) O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll O20 - Winlogon Notify: awtsSmLD - awtsSmLD.dll (file missing) O20 - Winlogon Notify: __c00D012A - C:\WINDOWS\
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится!!!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\MAD\TRACK\mad.exe',''); QuarantineFile('C:\NEXT\FILES\NEXT.exe',''); QuarantineFile('C:\WINDOWS\system32\nihovoja.dll',''); QuarantineFile('c:\windows\system32\dajajiro.dll',''); QuarantineFile('C:\WINDOWS\system32\WinVd32.sys',''); QuarantineFile('C:\WINDOWS\system32\WinFl32.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\lirsgt.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys',''); DelCLSID('67MAD3M8-3MAD-81AD-MAD6-78OP5G1234521'); DelCLSID('67KLN5J0-4OPM-33WE-AAX5-24KC2A3453431'); DelBHO('{149b9428-f046-4e0a-a47e-35a589b1a39b}'); DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}'); DeleteFile('C:\Documents and Settings\Winter Chaos\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll'); DeleteFile('C:\WINDOWS\system32\nihovoja.dll'); DeleteFile('C:\NEXT\FILES\NEXT.exe'); DeleteFile('c:\MAD\TRACK\mad.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите временные папки интернета.
Сделайте новые логи по правилам.
ввв.ixbt.com , freesoft.kljuc.net - Вам знакомы эти сайты?
AVZ 4.32 скачан, базы обновлены
Фиксы в HiJackThis выполнены.
Скрипт в AVZ выполнен.
Карантин выслан согласно правилам.
Временные папки очищены
Новые логи прикрепил.
ввв.ixbt.com , freesoft.kljuc.net
Эти сайты мне ни о чем не говорят...
Последний раз редактировалось Winter Chaos; 11.12.2009 в 17:11.
Зловредная активность z-connect пока не наблюдается, соеденение стабильное...
Выполните скрипт:
Система перезагрузится. Пришлите карантин в соответствии с правилами, и повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('cli.dll',''); QuarantineFile('c:\windows\system32\dajajiro.dll',''); QuarantineFile('C:\WINDOWS\system32\visujowo.dll',''); QuarantineFile('C:\WINDOWS\system32\spool\d',''); QuarantineFile('C:\WINDOWS\system32\ddcDwvTj',''); QuarantineFile('C:\WINDOWS\system32\butabefu.dll',''); DeleteFile('C:\WINDOWS\system32\visujowo.dll'); DeleteFile('c:\windows\system32\dajajiro.dll'); BC_ImportALL; ExecuteSysClean; RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler','{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','SSODL'); RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run','gawujugogu'); DelBHO('{e6be8e97-9343-42bd-9cfd-9e2e74db25d8}'); BC_Activate; RebootWindows(true); end.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Карантин отослал
Сделал логи
Последний раз редактировалось Winter Chaos; 11.12.2009 в 17:11.
Откройте AVZ - Сервис - Менеджер автозапуска. Найдите в списке элементы:
C:\WINDOWS\system32\butabefu.dll
C:\WINDOWS\system32\ddcDwvTj
Для каждого из них нажмите кнопку "Восстановить значение по умолчанию".
Перезагрузитесь и сообщите нам о самочувствии системы.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Система себя чувствует нормально, никаких проблем не замечено...
Считаю что проблема решена
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 37
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Winter Chaos, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.