Как обычно, рубит соединение, создает подключение.
Прицепляю логи Hijackthis и AVZ.
Как обычно, рубит соединение, создает подключение.
Прицепляю логи Hijackthis и AVZ.
Последний раз редактировалось Pervert_dream; 29.10.2009 в 10:29.
На время выполнения скриптов, отключитесь от сети, отключите антивирус и восстановление системы.
Пофиксите с помощью Hijackthis строки:Программа AVZ - файл - выполнить скрипт - выполните скрипт:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, O2 - BHO: agblibP - {065C52C3-9AA2-4577-AFB0-33F17EA5686E} - C:\Documents and Settings\All Users\Application Data\agblib.dll (file missing) O4 - HKLM\..\Run: [KernelDrv.exe] C:\WINDOWS\System32\KernelDrv.exe O21 - SSODL: WebCheck - {BF40CF31-AB5F-0A3F-4CB3-2F0B20FB4D59} - JVM32.DLL (file missing)После перезагрузки, загрузите карантин по ссылке в шапке темы, как написано в прил. 3 правил, проверьте адреса DNS-серверов в настройках сетевого подключения и повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\Program Files\Tutor.exe',''); QuarantineFile('C:\WINDOWS\system32\JVM32.DLL',''); QuarantineFile('C:\A1\V1\try.exe',''); QuarantineFile('C:\Program Files\SGPSA\BHO.dll',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\agblib.dll',''); QuarantineFile('C:\WINDOWS\system32\snti386.dll',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\System32\KernelDrv.exe',''); QuarantineFile('C:\DOCUME~1\Anna\LOCALS~1\Temp\catchme.sys',''); QuarantineFile('C:\Program Files\Tiny Utilities\Vitrite\VitriDLL.dll',''); QuarantineFile('C:\Program Files\QuickTime\QTSystem\QTCF.dll',''); QuarantineFile('C:\Program Files\Common Files\Apple\Apple Application Support\objc.dll',''); QuarantineFile('C:\Program Files\Common Files\Apple\Apple Application Support\ASL.dll',''); QuarantineFile('c:\program files\lovivkontakte\vkontakteservice.exe',''); QuarantineFile('c:\program files\tiny utilities\vitrite\vitrite.exe',''); DelBHO('{065C52C3-9AA2-4577-AFB0-33F17EA5686E}'); DeleteFile('C:\DOCUME~1\Anna\LOCALS~1\Temp\catchme.sys'); BC_DeleteFile('C:\DOCUME~1\Anna\LOCALS~1\Temp\catchme.sys'); DeleteFile('C:\WINDOWS\System32\KernelDrv.exe'); BC_DeleteFile('C:\WINDOWS\System32\KernelDrv.exe'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); BC_DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\Documents and Settings\All Users\Application Data\agblib.dll'); BC_DeleteFile('C:\Documents and Settings\All Users\Application Data\agblib.dll'); DeleteFile('C:\WINDOWS\system32\JVM32.DLL'); BC_DeleteFile('C:\WINDOWS\system32\JVM32.DLL'); DeleteService('catchme'); BC_DeleteSvc('catchme'); BC_ImportQuarantineList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Сначала накосячила с карантином, отправила нормально (сохранен как 091029_154102_virus_4ae98d5ef3cee.zip).
Адреса DNS выдаются автоманически при новом соединении.
Уже 24 минуты ничего подозрительного...
Логи:
Последний раз редактировалось Pervert_dream; 29.10.2009 в 16:02.
+ не могу удалить backups в hijackthis. Они при перезапуске снова появляются.
Непонятно, если честно. Что именно вы пытаетесь удалить, а оно не удаляется?
Программа AVZ - файл - выполнить скрипт - выполните скрипт:После перезагрузки, повторите лог исследования системы.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\A1\V1\try.exe'); BC_DeleteFile('C:\A1\V1\try.exe'); DelClSID('67KLN5J0-4OPM-61WE-AAX2-5657QWE232788'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Отфиксенные файлы.
Кстати, после окончательного излечения обратно включать восстановление системы?
Основная цель достигнута - соединение не прерывается. СПАСИБО.
Но, я чую, тут еще какая-то кака есть.
После скрипта еще два файла AVZ отправил в карантин.
Логи:
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\LoviVkontakte\lovivkontakte.exe',''); QuarantineFile('C:\Program Files\LoviVkontakte\VkontakteService.exe',''); DeleteService('LoviVkontakteService'); DeleteFile('C:\Program Files\LoviVkontakte\VkontakteService.exe'); DeleteFile('C:\Program Files\LoviVkontakte\lovivkontakte.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Кстати, я рано обрадовалась. Коннект опять прервался, и появилось подключение z-connect.
Флешек не вставляли?
Если нет, тогда все дело в этом
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
thyrex, я совершеннейший ламер. Я не понимаю.
Давайте еще раз логи проверим...
Флэшку, оказывается, в мое отсутствие вставили без форматирования...(
Отправила карантин.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); DelCLSID('{67KLN5J0-4OPM-61WE-AAX2-5657QWE232788}'); DeleteFile('C:\A1\V1\try.exe'); DeleteFileMask('C:\A1', '*.*', true); DeleteDirectory('C:\A1'); ExecuteSysClean; RebootWindows(true); end.
Сделайте новые логи с подключенной флешкой
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
На флэшке тоже эта пакость...
А я ведь ее форматнула.
Логи:
Подключите диск G:
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('G:\A1\V1\try.exe',''); QuarantineFile('G:\autorun.inf',''); DeleteFile('G:\autorun.inf'); DeleteFile('G:\A1\V1\try.exe'); DeleteFileMask('G:\A1\V1\','*.*',true); DeleteDirectory('G:\A1\V1\'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end.
Файл quarantine.zip из папки AVZ пришлите, используя ссылку "прислать запрошенный карантин"
Отправила карантин и quarantine.zip; логи на данный момент (вместе с флешкой):
Venus Doom, здорово, спасибо!
Я еще завтра тогда проверю другие флешки на предмет этой дряни.
Если что, предоставленный Вами скрипт можно применить к другому съемному носителю с тем же зловредом?
миднайт, поняла, будет сделано.
У меня еще 2 вопроса: включать ли обратно восстановление системы?
И в Hijackthis отфиксенные файлы переносятся в Backups; я их удаляю, но они снова появляются при перезапуске. Это нормально, или нужнол исправлять?
Уважаемый(ая) Pervert_dream, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.