z-connect

Printable View

15.05.2009, 18:27
Vadimich

z-connect

У меня z-connect.Помогите, пожалуйста.
15.05.2009, 19:49
light59

Выполните скрипт в AVPTool в разделе ручное лечение
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\BIN\RECYCLE\Bin.exe','');
QuarantineFile('c:\SYSTEM\FILES\ARMY.exe','');
DeleteFile('c:\SYSTEM\FILES\ARMY.exe');
DeleteFile('C:\BIN\RECYCLE\Bin.exe');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-74CC2A323342');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-14KC2A323342');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.

Выполните ещё один скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.[/CODE]Отправьте файл virus.zip по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=45837"]http://virusinfo.info/upload_virus.php?tid=45837[/URL]

Повторите лог AVPTool и сделайте лог HijackThis (ссылка в правилах).
16.05.2009, 11:51
Vadimich

у меня не получается загрузить файл virus.zip. Пишет: " ошибка загрузки, файл был уже закачан".
16.05.2009, 11:54
Vadimich

прикрепляю лог
16.05.2009, 11:57
Vadimich

Не получается загрузть лог в avp tool.Почему? Файл не загружается
16.05.2009, 12:14
light59

А вы лог заново сделали?
Если да, то уберите предыдущее вложение. Убирать в "Мой кабинет" - "вложения"
16.05.2009, 13:06
Vadimich

Спасибо большое! Прикрепляю.
16.05.2009, 13:58
light59

C:\DATA\DELETED\POWER.exe - это вам известно?
16.05.2009, 14:23
Vadimich

не могу найти
16.05.2009, 14:28
light59

выполните
[CODE]begin
QuarantineFile('C:\DATA\DELETED\POWER.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Компьютер перезагрузится.
Потом ещё один
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.[/CODE]
Пришлите карантин, как писалось ранее.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

virus.zip так и не загружается?
16.05.2009, 15:42
Vadimich

Прикрепляю
16.05.2009, 15:48
Vadimich

А эти скрипты подходят для AVZ?
17.05.2009, 15:48
AndreyKa

Подходят. Скриптовый язык в AVZ и в AVPTool одинаковый.
18.05.2009, 14:07
Vadimich

Спасибо еще раз вам за помощь! Прикрепляю лог.
18.05.2009, 15:10
AndreyKa

Выполните скрипт:
[code]
begin
QuarantineFile('C:\PROGRA~1\MYSECR~1\MSFH32.dll','');
SetAVZGuardStatus(True);
DelCLSID('67KLN5J0-4OPM-33WE-AAX5-14KC2A323342');
QuarantineFile('C:\DATA\DELETED\POWER.exe','');
DeleteFile('C:\DATA\DELETED\POWER.exe');
SysCleanAddFile('C:\Windows\msnmsgr.exe');
CreateQurantineArchive('c:\Qurantine.zip');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файл c:\Qurantine.zip через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы.
18.05.2009, 15:34
Vadimich

Отправил, спасибо.
18.05.2009, 17:23
AndreyKa

В файле C:\DATA\DELETED\POWER.exe был троян. Он может распространяться через флешки. Проверьте все флешки свежим CureIt или AVPTool.
NOD32 и Avast его не детектируют.
18.05.2009, 17:34
Vadimich

Спасибо!
19.05.2009, 17:34
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\data\deleted\power.exe - [B]Backdoor.Win32.Bifrose.awso[/B] ( DrWEB: Trojan.PWS.Stealer.129, BitDefender: Trojan.Generic.1807441 )[/LIST][/LIST]