Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 29.

zonetech.info (заявка № 61697)

  1. #1
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    53

    Thumbs down zonetech.info

    Добрый день.

    Последние несколько дней интернет начал пропадать через минут 2-15 (не знаю от чего зависит). При этом появляется сообщение, что generic... сделал ошибку и будет закрыт, через секунд 15-1.5 минуты компьютер зависает.

    Стоял Norton, который находил какие-то исполняемые файлы, успешно их совал в карантин.

    Проверил Cureit. Найдены какие-то вирусы, в основном - в папке карантин нортона. Решил попробовать Касперским, скачал триальную версию, второй день работает, провел полную проверку. Найдены вирусы и удалены. Но время отв ремени появляется сообщение, что svchost Пытается скачать с сайта zonetech.info ехе файл. Иногда появляется сообщение про то, что этот же процесс пытается загрузить с rapidshare или других сайтов какую-то заразу, которую касперский уничтожает. Опять таки, время от времени появляется ошибка Generic... сделал ошибку и будет закрыт и компьютер виснет...
    Иногда появляется сообщение от Kaspersky про найденыйв файле mt1[1].exe HEUR:Trojan.Win32.Generic

    Выкладываю логи AVZ. HijackThis не запустился, так как ругнулся на отсутствие msvbvm60.dll. Помогите, пожалуйста.
    Последний раз редактировалось LdrLo; 29.11.2009 в 17:46. Причина: Добавил сообщение про mt1.exe

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    Выполните скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\jcdrive32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-9211236433-3250188506-883649809-3709\wmfcgr.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-9211236433-3250188506-883649809-3709\wmfcgr.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-24SF-N85P');
     DeleteFile('C:\WINDOWS\jcdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
    RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи.

  4. #3
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    53
    Спасибо за оперативный ответ.
    В папке Quarantine есть пустая папка 2009-11-29, поэтому ничего не присылал по красной ссылке Прислать запрошенный карантин вверху темы.
    Пока делался сбор информации по одноименному скрипту, касперский ругнулся, что svchost пробует скачать файл с рапидшары. И примерно через минуту инет отключился. Пришлось перегрузиться.

    Новые логи - ниже:

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    Сделайте еще такой лог:
    http://virusinfo.info/showthread.php?t=53070

  6. #5
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    53
    Выкладываю:

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Удалите в МВАМ
    Код:
    Заражено папок:
    C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
    
    Заражено файлов:
    C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    53
    Сделано:

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Больше ничего плохого не видно. Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    53
    Пока... тьху три раза... ничего нет плохого. Ждемсь...

    Update1:
    Увы...
    Касперский, как и в прошлые разы, ругается о попытке загрузить программой svchost файла с рапидшары.
    Касперский определил заразу как "Trojan.Win32.Buzus.cqbm". Сравнил с логом предыдущих обнаружений - отличается только последними буквами (вместо Trojan.Win32.Buzus.cqbm указано, например, Trojan.Win32.Buzus.cqjn или Trojan.Win32.Buzus.cnbx )
    Последний раз редактировалось LdrLo; 29.11.2009 в 23:06. Причина: Update1:

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    сделайте лог Gmer
    + лог HiJackThis.

  12. #11
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    53
    Доброй ночи. Сделал:

    П.С. проблему с запуском hijackthis (не хватало длл-ки) решил копированием с другого компьютера нехватающего файла...
    Последний раз редактировалось LdrLo; 30.11.2009 в 01:17. Причина: пс

  13. #12
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    53
    Добрый день.
    Апдэйт темы

    (последний ответ был вчера, а по правилам - если в течении дня нет ответа, то можно тему апдэйтить...)

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Сканирование CureIt делали из безопасного режима?
    Пройдитесь по системе этим http://support.kaspersky.ru/viruses/...?qid=208636926
    Загрузитесь с LiveCD, замените файл C:\WINDOWS\system32\drivers\atapi.sys
    на чистый из вашего дистрибутива. Повторите лог gmer.

  15. #14
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    53
    Уважаемый миднайт. На дистрибутве нашел файл ATAPI.SY_ - на него менять? (естестно, с заемной расширения на sys)

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Это сжатый, его распаковать надо.

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Да, именно на него (распаковав см faq). Скопируйте зараженный atapi в какую-нубудь папку, в последствии, закарантиньте его по правилам и пришлите по красной ссылке вверху темы.
    Вот вам в помощь http://virusinfo.info/showthread.php?t=51654

  18. #17
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    53
    Доброе утро.

    Отправил закарантиненый файл два раза... Надеюсь меня за это ругать будут, но не сильно: первый раз отправил без пароля, второй раз - с паролем. Лог выложу вечером...

    П.С. И еще раз спасибо всем помогающим

  19. #18
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    53
    Доброй ночи.


    Логи от GMERa:

  20. #19
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Упорная зараза . Проверьтесь этим http://www.esagelab.com/files/tdss_remover_latest.rar
    Повторите процедуру с заменой файла C:\WINDOWS\system32\drivers\atapi.sys
    И повторите после этого лог gmer снова.

  21. #20
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    53
    Доброе утро.

    Утилита tdss_remover запустилась, нашла десятка два объектов, порекомендовала удалить. Выбрал "удалить", на что получил ответ, что файл такой-то не может быть удален (неудаляемых файлов было несколько, не записал как называются).
    Вопросов несколько:
    1) нужно ли запускать ее в безопасном режиме? (запускал в обычном)
    2) нужно ли отключать антивирь (касперский) при проверке данной программой? (Касперский ругнулся, что процесс пытается получить доступ к драйверам чего-то и если этому процессу разрешить работу, то касперский не сможет его по ходу контролировать)
    3) можно ли распаковывать atapi.sy_ на другом компьютере, а потом копировать в нужную папку из под LIVE CD? Или обязательно делать как написано в инструкции винды - зайти в режиме отладки и т.д.?

  • Уважаемый(ая) LdrLo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. zonetech.info
      От Rassomahin в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.01.2010, 12:44
    2. zonetech.info/61.exe
      От antixrist в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.01.2010, 19:36
    3. zonetech.info/61.exe не истребляется
      От amore-no в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 15.01.2010, 20:50
    4. Вирус zonetech.info
      От SelenaNBN в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 10.01.2010, 20:51
    5. Zonetech.info заколебал
      От Gauss в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 21.10.2009, 18:19

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01618 seconds with 19 queries