Я тоже нашел z-connect!!

Printable View

02.06.2009, 22:45
IndeeZ

Я тоже нашел z-connect!!

Доброго времени суток, господа! Я к вам снова за помощью! На этот раз проблемы у соседки.. нашлось много всего.. и z-connect был и еще чего то.. вполне возможно что- прибили не все. Др Вебом проверил, логи тоже сделал. Проверьте пожалуйста, чего там еще могло остаться!
02.06.2009, 22:59
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\SETUP\DATA\June.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\Program Files\Mozilla Firefox\extensions\[email protected]\components\fftma.dll','');
QuarantineFile('C:\SETUP\DATA\June.exe','');
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe','');
DelBHO('{AFD4AD01-58C1-47DB-A404-FBE00A6C5486}');
QuarantineFile('C:\Program Files\Common\_helper.dll','');
DeleteService('Winhj55');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhj55.sys','');
DeleteService('apcsvra');
QuarantineFile('C:\Program Files\Common Files\System\apcsvra.dll','');
DeleteService('BNDMSS');
QuarantineFile('C:\WINDOWS\system32\bndmss.exe','');
QuarantineFile('c:\progra~1\common~1\target~1\tmagent\tmasrv.exe','');
QuarantineFile('c:\windows\svchoster.exe','');
DeleteFile('c:\windows\svchoster.exe');
DeleteFile('c:\progra~1\common~1\target~1\tmagent\tmasrv.exe');
DeleteFile('C:\WINDOWS\system32\bndmss.exe');
DeleteFile('C:\Program Files\Common Files\System\apcsvra.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhj55.sys');
DeleteFile('C:\Program Files\Common\_helper.dll');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe');
DeleteFile('C:\SETUP\DATA\June.exe');
DeleteFile('C:\Program Files\Mozilla Firefox\extensions\[email protected]\components\fftma.dll');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\SETUP\DATA\June.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
03.06.2009, 05:52
IndeeZ

Ну ступил немного, антивирусник не отключил, по моему он карантин подчистил.. В остальном вроде все нормально. Вот повторные логи.
03.06.2009, 08:54
light59

[QUOTE]Ну ступил немного, антивирусник не отключил, по моему он карантин подчистил[/QUOTE]Ну и хорошо, так как это значит, что всё детектится антивирусом.

Эт что у вас?
c:\documents and settings\Даша\Рабочий стол\iexplore.exe

[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
[/CODE]

Выполните скрипт
[CODE]begin
SetAVZGuardStatus(True);
DelCLSID('{67KLN5J0-4OPM-33WE-AAX5-34KC2A3453431}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
DeleteFile('svchoster.exe');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe');
DeleteFile('C:\SETUP\DATA\June.exe');
BC_ImportDeletedList;
BC_DeleteSvc('apcsvra32');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите пункты 2 и 3 диагностики.
04.06.2009, 08:54
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\mozilla firefox\extensions\[email protected]\components\fftma.dll - [B]not-a-virus:WebToolbar.Win32.TMAagent.ab[/B][*] c:\setup\data\june.exe - [B]Trojan-Dropper.Win32.Small.dkc[/B] ( DrWEB: Trojan.MulDrop.31882, BitDefender: Trojan.Loader.BT )[*] c:\windows\svchoster.exe - [B]Trojan-Dropper.Win32.Agent.atsv[/B][*] f:\setup\data\june.exe - [B]Trojan-Dropper.Win32.Small.dkc[/B] ( DrWEB: Trojan.MulDrop.31882, BitDefender: Trojan.Loader.BT )[/LIST][/LIST]