-
Junior Member
- Вес репутации
- 53
Помогите пожалуйста удалить вирус z-connect
здравствуйте, стал часто разьединятся подключеие к интернет, погуглив узнал что єто вирус z-connect, пробывал много скриптов через avz но понял что скрипты у каждого пользователя индивидуальны, помогите пожалуйста удалить этот коварный вирус.
вот логи
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в Hijack следующие строки:
Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\vksaver.dll
Выполнить скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{6715B96F-A181-462F-AF5E-1E528722A70A}');
QuarantineFile('C:\WINDOWS\system32\srchbho.dll','');
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
QuarantineFile('C:\WINDOWS\system32\syschk32.exe','');
QuarantineFile('C:\Program Files\Ask.com\UpdateTask.exe','');
QuarantineFile('C:\WINDOWS\system32\vksaver.dll','');
DeleteFile('C:\WINDOWS\system32\vksaver.dll');
DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
DeleteFilemask('C:\Program Files\Ask.com','*.*', true);
DeleteDirectory('C:\Program Files\Ask.com');
DeleteFile('C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job');
DeleteFile('C:\WINDOWS\Tasks\SystemCheck.job');
DeleteFile('C:\WINDOWS\system32\syschk32.exe');
DeleteFile('C:\WINDOWS\system32\srchbho.dll');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(14);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
затем следующий
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
в шапке Вашей темы.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 53
файл quarantine.zip закачал, вот следующие логи
-
-
-
Сообщение от
FAME
всмысле?
стал часто разьединятся подключеие к интернет
Эта проблема решена? Другие проблемы есть? z-connect соединение есть?
Если есть, удалите его. Посмотрите, появляется ли оно снова.
-
-
Junior Member
- Вес репутации
- 53
дело в том что большинство пользователей пишут что в сетевых подключениях появляется соединение z-connect, но у меня ничего такого не появлялось но разьединяется каждые минуты 4 или 3. вроде бы не разьединяется нужно ещо посидеть посмотреть) через минут 10 напишу разьединилось или нет)
Добавлено через 29 минут
вроде бы не разьединяло больше) спасибо огромное тебе)
Добавлено через 1 час 42 минуты
блин( вот опять разьединяло( проблема отсалась(
Последний раз редактировалось FAME; 25.12.2009 в 17:50.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 53
-
Удалите в MBAM следующее:
Код:
Заражено ключей реестра:
HKEY_CLASSES_ROOT\searchbho.seobho (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\searchbho.seobho.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{cf826515-af69-4282-88e9-cc31e3f393ee} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6715b96f-a181-462f-af5e-1e528722a70a} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{cd31e9a7-ada8-4081-b7ec-6634b3c3518f} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6715b96f-a181-462f-af5e-1e528722a70a} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\zwangisearch (Adware.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\advantage (Adware.Vomba) -> No action taken.
Заражено папок:
C:\Documents and Settings\--FAME--\Application Data\advantage (Adware.Vomba) -> No action taken.
C:\Program Files\Advantage (Adware.Advantage) -> No action taken.
Заражено файлов:
C:\Program Files\ZwangiSearch\uninstall.exe (Adware.Agent) -> No action taken.
C:\Program Files\Bias\Bias\BIAS SoundSoap 2\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Program Files\TCWL\Plugins\arc\Default.sfx (Malware.Packer) -> No action taken.
C:\Program Files\TCWL\Utilites\SFX Tool\Upack.exe (Malware.Packer) -> No action taken.
C:\Program Files\TCWL\Utilites\WinUpack\Upack.exe (Malware.Packer) -> No action taken.
C:\Program Files\TCWL\Utilites\WinUpack\WinUpackE.exe (Malware.Packer) -> No action taken.
C:\Program Files\TCWL\Utilites\WinUpack\WinUpackR.exe (Malware.Packer) -> No action taken.
D:\Utility\avz4\Infected\2009-12-25\avz00001.dta (Trojan.BHO) -> No action taken.
D:\Utility\WaveGenix Deluxe Mastering\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
E:\Games\Пр0гр@ммер\Установочны файлы\EverestUlt-4.60.1500-FULL.exe (Trojan.Dropper) -> No action taken.
E:\Games\Пр0гр@ммер\Кейгены\Keygen.exe (Trojan.Downloader) -> No action taken.
Сделайте контрольный лог MBAM
-
-
Junior Member
- Вес репутации
- 53
-
Чисто, проблемы остались?
-
-
Ок! Ждем результата испытаний.
-
-
Junior Member
- Вес репутации
- 53
чорд( к сожалению долго ждать не пришлось( опять разьединило(
-
Комплект логов сделайте (AVZ, Hijack, MBAM)
-
-
Сделайте лог Hijack и АВЗ (ст.скрипт №2)
-
-
Junior Member
- Вес репутации
- 53
вот все логи
-
Пофиксить в Hijack следующие строки:
Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\vksaver.dll
Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{FCBCCB87-9224-4B8D-B117-F56D924BEB18}');
DelBHO('{1BB22D38-A411-4B13-A746-C2A4F4EC7344}');
DeleteFile('C:\WINDOWS\system32\vksaver.dll');
DeleteFileMask('C:\Program Files\Pivim Multibar','*.*', true);
DeleteDirectory('C:\Program Files\Pivim Multibar');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Сделайте лог Hijack и лог АВЗ (ст. скрипт №2)
Последний раз редактировалось Шапельский Александр; 26.12.2009 в 00:16.
Причина: ошибка '
-
-
Junior Member
- Вес репутации
- 53
реакция АВЗ на ваш скрипт: Ошибка: ')' expected в позиции 7:51
пытался найти ошибку в скрипте но не нашол
Добавлено через 1 минуту
вот, ошибка находится в этой строке
DeleteFileMask('C:\Program Files\Pivim Multibar',"*.*', true);
Последний раз редактировалось FAME; 26.12.2009 в 00:04.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 53
вот пожалуйста