z-connect

Printable View

02.06.2009, 01:51
abc_ua

Вложений: 2

z-connect

В компьютере завелась какая-то гадость которая отрубает впн соединение, создавая при этом свое с именем z-connect, пока принял временное решение: создал подключение с именем z-connect, вирус не может создать подключение с другим именем, так что он блокируется. Прошу помочь вывести паразита из компа, т.к. все форматировать ооочень не хочется. заранее спс

зы: avz сгенерировал только virusinfo_syscure.zip
02.06.2009, 02:49
Bratez

Пофиксите в HijackThis:
[code]
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://dt-updates.com/activate?query=mTrkZh5BSkq7BzPI2uq%2fJKvI2fQFMwbQ8dMoMxn6yp%2bN9qe7%2bP2cSQR6KD5MJzmg%2f6n5Rb5ZnnWSMsqbChON%2fcEscGnLp7v3OsrWXDjrNhGrMPdR6zuwDPwsvdVBMWl6f3HDMNywie6ezeksw%2faEkW6UX%2bNKpSPVeAPOzxLahko%2fyh8Kr2Oo%2f21Dr38f%2fCI6AF1KCI936L9lgWooOxw0rKGWtfVd%2fjfFp0NnUPIR7qdftxbTYivKMmJkNiKaaUx5DQAFUInbaf5MHWQc4oum9RBR3rbKJl3YHXm%2fxIvecVw%3d
F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\DegCs.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\SSVICHOSST.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3514089236-1200350083-132840613-3551\isl.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\DegCs.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\DegCs.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3514089236-1200350083-132840613-3551\isl.exe');
DeleteFile('C:\WINDOWS\system32\SSVICHOSST.exe');
DeleteFile('C:\WINDOWS\Tasks\At1.job');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=47011[/url]).

Сделайте новые логи (только п.2 и 3 раздела Диагностика).
02.06.2009, 10:34
abc_ua

Вложений: 2

Вот
02.06.2009, 11:20
DefesT

Выполните скрипт в AVZ:[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\SYSTEM\FOLDER\AmdSys.exe','');
DeleteFile('C:\SYSTEM\FOLDER\AmdSys.exe');
BC_DeleteFile('C:\SYSTEM\FOLDER\AmdSys.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузиться!!!
Пришлите еще раз карантин по ссылке согласно правил [COLOR="DarkRed"]Прислать запрошенный карантин[/COLOR] вверху темы
Повторите логи по правилам.

Вам это знакомо?
[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{13655E47-F64F-47AE-95CB-E87B392BA3D0}: NameServer = 10.35.3.1,10.35.10.10
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C08ADA5-EF64-4059-8D7A-451E0BA18A96}: NameServer = 172.31.31.1 195.5.51.178
O17 - HKLM\System\CS1\Services\Tcpip\..\{13655E47-F64F-47AE-95CB-E87B392BA3D0}: NameServer = 10.35.3.1,10.35.10.10
O17 - HKLM\System\CS2\Services\Tcpip\..\{13655E47-F64F-47AE-95CB-E87B392BA3D0}: NameServer = 10.35.3.1,10.35.10.10[/CODE]
02.06.2009, 18:03
abc_ua

Вложений: 3

Да, знакомо, это DNS-адреса, мой айпи и основной шлюз, не знаю только что такое 195.5.51.178
04.06.2009, 21:21
abc_ua

Ответьте хоть что-нить)
05.06.2009, 03:09
Bratez

В логах чисто. Какие-то проблемы остались?

Рекомендуется установить SP3 и последующие обновления.
05.06.2009, 07:20
abc_ua

на диске С есть файл u8g6d1y5e5g7.exe который после удаления восстанавливается, проблема осталась
Можно ли отформатировать один системный диск? т.е при этом вирус удалится?
05.06.2009, 10:47
Rene-gad

[QUOTE=abc_ua;412026]
Можно ли отформатировать один системный диск? т.е при этом вирус удалится?[/QUOTE]Если это был/есть руткит/бэкдор - да, если файловая инфекция - то она может и с другого диска в гости зайти.
Выполните скрипт
[CODE]begin
SetAVZPMStatus(True);
ExecuteRepair(13);
RebootWindows(true);
end.[/CODE]
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
06.06.2009, 12:00
abc_ua

Вложений: 3

готово
06.06.2009, 12:08
Bratez

Опять все то же самое!

Подключите съемные носители, какие используете, и оставьте подключенными.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\DegCs.exe');
DeleteFile('c:\SYSTEM\FOLDER\AmdSys.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('DegCs Controler');
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Обновите базы AVZ и сделайте новые логи.
06.06.2009, 15:56
abc_ua

Спасибо за помощь, форматнул сис диск все стало норм работать
07.06.2009, 15:56
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\degcs.exe - [B]Backdoor.Win32.SdBot.mpv[/B] ( DrWEB: BackDoor.IRC.Sdbot.4876, BitDefender: Gen:Trojan.Packed.Heur.F3A393ADAD )[/LIST][/LIST]