Z-connect & Ko

Printable View

10.06.2009, 11:54
Sality

Z-connect & Ko

История такая. Примерно месяц назад пропал инет. Звонил провайдеру, просил разобраться. Разобрались - проблема у меня, а не у провайдера. При пинге выдавало "Заданный узел недоступен", хотя обычно проблемы провайдера выглядели как: "Превышен интервал ожидания", либо вообще ничего не выдавало. В общем поставил я вторую винду - инет работал нормально, только вот на первой (основной) винде остался антивир Каспер, куча прог, утилит. Нужно узнать, реально ли реабилитировать основную винду, либо придётся полностью переходить на вторую (честн говоря влом всё заново устанавливать на эту).
Вчера подцепил z-conneсt, скачал CureIt, просканил, вроде нашло пару вирусов, но я думаю ещё остались (к примеру, смущают файлы a1h9x54j3.exe, a9c6d9m6o3v6.exe в O:\Documents and Settings\Administrator - которые CureIt просканил, но вирусов не заметил). Сейчас я выложу логи второй винды согласно правилам. После того, как здесь всё будет чисто, выложу логи основной винды - может вам всё-таки удастся найти причину "Заданный узел недоступен". Спасибо за помощь.
10.06.2009, 12:31
Numb

Диск j: - это что? Флешка?
Trafficcompressor хорошо бы убрать, хотя бы на врпемя лечения. Если ставили сами, то через "Установку/удаление программ"
Программа AVZ - файл - выполнить скрипт - выполните скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('J:\autorun.inf','');
QuarantineFile('C:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe','');
DeleteFile('C:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe');
BC_DeleteFile('C:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe');
DeleteFile('J:\autorun.inf');
BC_DeleteFile('J:\autorun.inf');
BC_Activate;
ExecuteSysClean;
executerepair(8);
RebootWindows(true);
end.[/code]После перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=47615[/url] , как написано в прил.3 правил и повторите логи.
10.06.2009, 13:09
Sality

Спасибо за оперативную помощь. Диск J: - это iPod classic - мп3-плеер с включённой галочкой "юзать как внешний жёсткий диск". Кстати, именно через него я заразился z-connect'ом. Уверен, так как подключение "z-connect" я видел у друга вчера, когда переписывал у него файлы на этот iPod и после того, как вернулся домой, переписал файлы с плеера на комп - у меня тож появилось это подключение.
Карантин прислал, повторные логи прилагаю.
Те два файла, которые находятся в O:\Documents and Settings\Administrator : a1h9x54j3.exe, a9c6d9m6o3v6.exe - проверил virusscan и virustotalом - вирусов не найдено, но именно вчера, до удаления z-connectа CureIt'ом вылетала ошибка a9c6d9...exe - всё же думаю этот файл как-то связан с вирусом. Может прислать их вам на проверку?
10.06.2009, 14:26
Numb

В карантине: GooD.exe - Trojan.Win32.Agent2.fku
Логи чистые, по-моему. На всякий случай, программа AVZ - файл - выполнить скрипт - выполните скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('I:\autorun.inf');
DeleteFile('J:\autorun.inf');
DeleteFile('J:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe');
DeleteFile('I:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
RebootWindows(true);
end.[/code] Посмотрите вот эту тему - [url]http://virusinfo.info/showthread.php?t=20291[/url] , решите, стоит вам отключать автозапуск, или нет. Отключение автозапуска предотвратит заражение подобной штукой, но насколько удобно будет вам - не знаю.
Насколько я понял, у вас 2 проблемных ОС на одной машине. Если так, то для логов со второй ОС открывайте новую тему.

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Файлы a1h9x54j3.exe, a9c6d9m6o3v6.exe загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=47615[/url] в архиве с паролем "virus"
10.06.2009, 19:34
Sality

Карантин выложил, кроме указанных 2 файлов в нём ещё 3ий появивщийся только что в той же папке с иконкой касперского - хотя на этой ОС у меня Каспер не стоит :)
Автозапуск отключать конечно стоит, да и много чего ещё для защиты ОС сделать нужно, поставить антивир для начала. Прост ОС временная, если мне помогут с основной ОС (где у меня антивир, отключены все автозапуски и лишние сервисы, короч всё более-менее настроено), то эту я удалю, поэтому пока ничего здесь не настраиваю.
Создал новую тему по второй ОС: [url]http://virusinfo.info/showthread.php?p=414810#post414810[/url]
27.06.2009, 11:37
Sality

Вложений: 3

Просто не знаю, что делать. Теперь и эта ОС заразилась этой дурью "заданный узел недоступен".
Попытаюсь дать максимум информации: После установки этой (второй) ОС с интернетом всё было нормально, но 3-4 дня назад я установил Hamachi (который создаёт что-то типа эмулятора второй сетевой карты и второго подключения) - с этого момента у меня вырубился инет и появилась эта надпись при пинге: "заданный узел недоступен". После деинсталляции hamachi инет заработал, но ненадолго - через некоторое время опять та же ситуация. Путём проб и ошибок я научился восстанавливать интернет: заходим в свойства подключения, жмём настроить, там во вкладке "драйвера" жмём удалить - тем самым локальное подключение удаляется из списка. После перезагрузки оно вновь появляется - жму свойства и вручную прописываю IP, маску подсети, DNS-сервер (предпочитаемый и альтернативный) - инет/сеть работают, но не более часа. Пинг сменяется на "Превышен интервал ...", а затем и на "Заданный узел недоступен". Причём ситуация усугубляется, теперь, чтобы восстановить сеть/инет, простого удаления во вкладке драйвер недостаточно, нужно выдернуть шнур выделенки и подключать его только после перезагрузки. Не знаю, что и думать: 1) с одной стороны, проблема программная, начало ей положила программа Hamachi (кстати, в основной ОС, теперь вспоминаю, начало было положено программой Denwer - она тоже создала второе локальное подключение, чтот типа эмулятора) 2)но с другой стороны, проблема должна была исчезнуть с деинсталляцией Denwer/Hamachi, последующее поведение похоже на вирус (я где-т читал, что "заданный узел недоступен" может выдавать, если с компа идёт большой поток спама - но я бы это заметил, исходящий трафик, как обычно, в 4-5 раз меньше входящего).
Очень надеюсь на Вашу помощь, логи прилагаю.
28.06.2009, 11:37
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \f4n5x5w6f5c4.exe - [B]Trojan-Dropper.Win32.Small.dkc[/B] ( DrWEB: Trojan.MulDrop.31882, BitDefender: Trojan.Loader.BT )[*] j:\restore\h-6-1-53-0976546321-090909032-8763-1337\good.exe - [B]Trojan.Win32.Agent2.fku[/B] ( DrWEB: BackDoor.IRC.Flood.8, BitDefender: Trojan.Generic.1561680 )[/LIST][/LIST]