z-connect

[Ubar777]

Помогите с нежеланным жильцом, пожалуйста

[Гриша]

Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZPMStatus(True);
 QuarantineFile('C:\WINDOWS\system\dllcache.exe','');
 QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
 DeleteFile('C:\WINDOWS\system32\regedit.exe');
 DeleteFile('C:\WINDOWS\system\dllcache.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
SetAVZGuardStatus(True);    
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

[Ubar777]

В списке файлов карантина пусто. логи высылаю

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\mslsrv32.exe');
 QuarantineFile('c:\windows\mslsrv32.exe','');
 DeleteFile('c:\windows\mslsrv32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи + лог gmer

[Ubar777]

карантин выслал, логи сделал. Гмер ничего не нашел, поэтому пустой лог не выставляется

[thyrex]

Гмер ничего не нашел, поэтому пустой лог не выставляется

Такого просто не может быть
Вы на кнопку Scan нажимали? Окончания проверки дождались?

[Ubar777]

я проверил диск С. сейчас попробую все проверить

[thyrex]

Главное лог выложите

[Ubar777]

выдал ошибку GMER has found system modification caused by ROOTKIT activity. лог выкладываю

[snifer67]

Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)

Код:

gmer.exe -del service afctmav
gmer.exe -del service vhulrsnc
gmer.exe -del file "C:\WINDOWS\system32\gtfidf.dll''
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\afctmav''
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vhulrsnc''
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\afctmav''
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vhulrsnc''
gmer.exe -reboot

ПК перезагрузится.

Сделайте новый лог gmer.

[Ubar777]

скопировал текст как было указано, но комп не перезагружается, при этом лог внизу оформлен непонятными символами (см. вложение).

новый лог гмер делаю

[Bratez]

Что-то не то у вас получилось.
Указанный выше код для гмера лучше сохранить в виде bat-файла в папку с гмером и запустить этот bat-файл. Потом сделайте новый лог.

[Ubar777]

сделал проверку гмером отдельно system и диска С. на проверке диска вылал ошибку Gmer hasn't found any system modification. лог проверки system выкладываю.
Сделал бат-файл с кодом гмера как записано выше - результат тот же, то есть нет перезагрузки .

[thyrex]

Слегка модернизируем рекомендацию и скрипт snifer67

Сохраните текст ниже как cleanup.bat в ту же папку, где находится lisrk0n9.exe (gmer)

Код:

lisrk0n9.exe -del service afctmav
lisrk0n9.exe -del service vhulrsnc
lisrk0n9.exe -del file "C:\WINDOWS\system32\gtfidf.dll"
lisrk0n9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\afctmav"
lisrk0n9.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vhulrsnc"
lisrk0n9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\afctmav"
lisrk0n9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vhulrsnc"
lisrk0n9.exe -reboot

И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

[Ubar777]

сделал cleanup.bat. на каждую строку вышла ошибка - Процессор NTVDM обнаружил недопустимую инструкцию. с разными адресами. Комп опять не перезагрузился почему-то.
Файл lisrk0n9 (гмер) теперь при запуске выдает такую же ошибку.
скачал гмер заново ( jlrd6ypl ) и провел проверку диска С. ошибка - Gmer hasn't found any system modification.

Кстати посмотрел сетевые подключения - z-connect исчез .
вчера один обрыв был точно, сегодня не было.

накаркал - в подключения инет пишет отключено, хотя связь есть (если правка появилась, точно есть)
а теперь и обрывы зафиксировал

[thyrex]

Сделать новый лог gmer

И где?

И обычные правила еще раз выполните

[Ubar777]

Лог гмер сделать не получается из-за ошибки (в логе пусто). ошибка - Gmer hasn't found any system modification.

логи обычные выкладываю

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
 QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
 TerminateProcessByName('c:\windows\system32\restorer32_a.exe');
 QuarantineFile('c:\windows\system32\restorer32_a.exe','');
 TerminateProcessByName('c:\windows\mslsrv32.exe');
 QuarantineFile('c:\windows\mslsrv32.exe','');
 DeleteFile('c:\windows\mslsrv32.exe');
 DeleteFile('c:\windows\system32\restorer32_a.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 DeleteFile('C:\WINDOWS\system32\regedit.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
 DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\afctmav\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\afctmav');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\hsjlgyxck\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\hsjlgyxck');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\vhulrsnc\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\vhulrsnc');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\afctmav\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\afctmav');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\hsjlgyxck\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\hsjlgyxck');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\vhulrsnc\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\vhulrsnc');
DeleteService('afctmav');
 DeleteService('hsjlgyxck');
 DeleteService('vhulrsnc');
QuarantineFile('C:\WINDOWS\system32\gtfidf.dll','');
DeleteFile('C:\WINDOWS\system32\gtfidf.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

СРОЧНО ОБНОВЛЯЙТЕ СИСТЕМУ
Установите SP3 (может потребоваться активация) + все новые заплатки

Сделайте новые логи + лог gmer (если не будет получаться в нормальном режиме, тогда в безопасном)

[Ubar777]

Про обновления понял, спасибо.
Карантин выслал, логи выкладываю, кроме гмер (в безопасном режиме таже ошибка и пустой лог).

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Травин Виктор\Local Settings\Temp\BN1C.tmp','');
 QuarantineFile('C:\Documents and Settings\Травин Виктор\Local Settings\Temp\BN1A.tmp','');
 QuarantineFile('C:\Documents and Settings\Травин Виктор\Local Settings\Temp\BN19.tmp','');
 DeleteFile('C:\Documents and Settings\Травин Виктор\Local Settings\Temp\BN19.tmp');
 DeleteFile('C:\Documents and Settings\Травин Виктор\Local Settings\Temp\BN1A.tmp');
 DeleteFile('C:\Documents and Settings\Травин Виктор\Local Settings\Temp\BN1C.tmp');
DeleteFileMask('C:\Documents and Settings\Травин Виктор\Local Settings\Temp', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи