Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 29.

zonetech.info (заявка № 61697)

  1. #1
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    26

    Thumbs down zonetech.info

    Добрый день.

    Последние несколько дней интернет начал пропадать через минут 2-15 (не знаю от чего зависит). При этом появляется сообщение, что generic... сделал ошибку и будет закрыт, через секунд 15-1.5 минуты компьютер зависает.

    Стоял Norton, который находил какие-то исполняемые файлы, успешно их совал в карантин.

    Проверил Cureit. Найдены какие-то вирусы, в основном - в папке карантин нортона. Решил попробовать Касперским, скачал триальную версию, второй день работает, провел полную проверку. Найдены вирусы и удалены. Но время отв ремени появляется сообщение, что svchost Пытается скачать с сайта zonetech.info ехе файл. Иногда появляется сообщение про то, что этот же процесс пытается загрузить с rapidshare или других сайтов какую-то заразу, которую касперский уничтожает. Опять таки, время от времени появляется ошибка Generic... сделал ошибку и будет закрыт и компьютер виснет...
    Иногда появляется сообщение от Kaspersky про найденыйв файле mt1[1].exe HEUR:Trojan.Win32.Generic

    Выкладываю логи AVZ. HijackThis не запустился, так как ругнулся на отсутствие msvbvm60.dll. Помогите, пожалуйста.
    Вложения Вложения
    Последний раз редактировалось LdrLo; 29.11.2009 в 17:46. Причина: Добавил сообщение про mt1.exe

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Выполните скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\jcdrive32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-9211236433-3250188506-883649809-3709\wmfcgr.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-9211236433-3250188506-883649809-3709\wmfcgr.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-24SF-N85P');
     DeleteFile('C:\WINDOWS\jcdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
    RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи.

  4. #3
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    26
    Спасибо за оперативный ответ.
    В папке Quarantine есть пустая папка 2009-11-29, поэтому ничего не присылал по красной ссылке Прислать запрошенный карантин вверху темы.
    Пока делался сбор информации по одноименному скрипту, касперский ругнулся, что svchost пробует скачать файл с рапидшары. И примерно через минуту инет отключился. Пришлось перегрузиться.

    Новые логи - ниже:
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Сделайте еще такой лог:
    http://virusinfo.info/showthread.php?t=53070

  6. #5
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    26
    Выкладываю:
    Вложения Вложения

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,656
    Вес репутации
    2918
    Удалите в МВАМ
    Код:
    Заражено папок:
    C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
    
    Заражено файлов:
    C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    26
    Сделано:
    Вложения Вложения

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,656
    Вес репутации
    2918
    Больше ничего плохого не видно. Что с проблемой?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    26
    Пока... тьху три раза... ничего нет плохого. Ждемсь...

    Update1:
    Увы...
    Касперский, как и в прошлые разы, ругается о попытке загрузить программой svchost файла с рапидшары.
    Касперский определил заразу как "Trojan.Win32.Buzus.cqbm". Сравнил с логом предыдущих обнаружений - отличается только последними буквами (вместо Trojan.Win32.Buzus.cqbm указано, например, Trojan.Win32.Buzus.cqjn или Trojan.Win32.Buzus.cnbx )
    Последний раз редактировалось LdrLo; 29.11.2009 в 23:06. Причина: Update1:

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    сделайте лог Gmer
    + лог HiJackThis.

  12. #11
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    26
    Доброй ночи. Сделал:

    П.С. проблему с запуском hijackthis (не хватало длл-ки) решил копированием с другого компьютера нехватающего файла...
    Вложения Вложения
    Последний раз редактировалось LdrLo; 30.11.2009 в 01:17. Причина: пс

  13. #12
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    26
    Добрый день.
    Апдэйт темы

    (последний ответ был вчера, а по правилам - если в течении дня нет ответа, то можно тему апдэйтить...)

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Сканирование CureIt делали из безопасного режима?
    Пройдитесь по системе этим http://support.kaspersky.ru/viruses/...?qid=208636926
    Загрузитесь с LiveCD, замените файл C:\WINDOWS\system32\drivers\atapi.sys
    на чистый из вашего дистрибутива. Повторите лог gmer.

  15. #14
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    26
    Уважаемый миднайт. На дистрибутве нашел файл ATAPI.SY_ - на него менять? (естестно, с заемной расширения на sys)

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Это сжатый, его распаковать надо.

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Да, именно на него (распаковав см faq). Скопируйте зараженный atapi в какую-нубудь папку, в последствии, закарантиньте его по правилам и пришлите по красной ссылке вверху темы.
    Вот вам в помощь http://virusinfo.info/showthread.php?t=51654

  18. #17
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    26
    Доброе утро.

    Отправил закарантиненый файл два раза... Надеюсь меня за это ругать будут, но не сильно: первый раз отправил без пароля, второй раз - с паролем. Лог выложу вечером...

    П.С. И еще раз спасибо всем помогающим

  19. #18
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    26
    Доброй ночи.


    Логи от GMERa:
    Вложения Вложения

  20. #19
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Упорная зараза . Проверьтесь этим http://www.esagelab.com/files/tdss_remover_latest.rar
    Повторите процедуру с заменой файла C:\WINDOWS\system32\drivers\atapi.sys
    И повторите после этого лог gmer снова.

  21. #20
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    26
    Доброе утро.

    Утилита tdss_remover запустилась, нашла десятка два объектов, порекомендовала удалить. Выбрал "удалить", на что получил ответ, что файл такой-то не может быть удален (неудаляемых файлов было несколько, не записал как называются).
    Вопросов несколько:
    1) нужно ли запускать ее в безопасном режиме? (запускал в обычном)
    2) нужно ли отключать антивирь (касперский) при проверке данной программой? (Касперский ругнулся, что процесс пытается получить доступ к драйверам чего-то и если этому процессу разрешить работу, то касперский не сможет его по ходу контролировать)
    3) можно ли распаковывать atapi.sy_ на другом компьютере, а потом копировать в нужную папку из под LIVE CD? Или обязательно делать как написано в инструкции винды - зайти в режиме отладки и т.д.?

  • Уважаемый(ая) LdrLo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. zonetech.info
      От Rassomahin в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.01.2010, 12:44
    2. zonetech.info/61.exe
      От antixrist в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.01.2010, 19:36
    3. zonetech.info/61.exe не истребляется
      От amore-no в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 15.01.2010, 20:50
    4. Вирус zonetech.info
      От SelenaNBN в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 10.01.2010, 20:51
    5. Zonetech.info заколебал
      От Gauss в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 21.10.2009, 18:19

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01545 seconds with 23 queries