z-connect

Printable View

30.06.2009, 22:57
tuu-tikki

Вложений: 3

z-connect

помогите, пожалуйста избавиться от z-connect!
30.06.2009, 23:27
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('67XOR2B0-3GMC-89VV-JIJ1-32KL2R3233771');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~DF708D.tmp','');
QuarantineFile('C:\C\Settings\cl.exe','');
QuarantineFile('C:\WINDOWS\system32\nw_logon.exe','');
QuarantineFile('C:\WINDOWS\system32\XP-02EDEAF2.EXE','');
QuarantineFile('C:\ROOT\SYSTEM\MaY.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\cportclm.sys','');
DeleteFile('C:\C\Settings\cl.exe');
DeleteFile('C:\ROOT\SYSTEM\MaY.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно риложения 3 правил
повторите логи
30.06.2009, 23:55
tuu-tikki

Вложений: 3

выполнила скрипт, вот логи и карантин

[color=red]Moderated: карантин присылать через красную ссылку наверху[/color]
01.07.2009, 01:58
gjf

- Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[B]- Антивирус и Файрвол.[/B]
- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HiJackThis:[/URL]
[CODE]O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('gdrv');
StopService('cportclm');
StopService('block_reader');
QuarantineFile('C:\Documents and Settings\User\DoctorWeb\Quarantine\xhhpgd.exe','');
QuarantineFile('C:\WINDOWS\gdrv.sys','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\cportclm.sys','');
QuarantineFile('C:\Program Files\Multi Password Recovery\block_reader.sys','');
DeleteFile('C:\Program Files\Multi Password Recovery\block_reader.sys');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\cportclm.sys');
DeleteFile('C:\WINDOWS\gdrv.sys');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~DF708D.tmp');
DeleteFile('C:\Documents and Settings\User\DoctorWeb\Quarantine\xhhpgd.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('cportclm');
BC_DeleteSvc('block_reader');
BC_DeleteSvc('gdrv');
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
[B]- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/B]
- Сделайте повторные логи согласно [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.
01.07.2009, 18:58
tuu-tikki

Вложений: 3

логи
01.07.2009, 19:11
gjf

Хорошо. Rambler-Ассистентом и М-Агентом пользуетесь?
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
Сделайте повторный лог только согласно пункта 2 [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
virusinfo_syscheck.zip
01.07.2009, 19:46
tuu-tikki

Вложений: 1

пользуюсь, но не очень часто.
01.07.2009, 19:51
gjf

Ну тогда пусть живёт :)
Соединение z-connect удалите, если оно ещё сохранилось.
Ещё проблемы наблюдаются?
01.07.2009, 19:56
tuu-tikki

вроде проблем больше нет.
спасибо огромное (:
01.07.2009, 20:00
gjf

Миссия выполнена [img]http://fc01.deviantart.com/fs12/i/2006/274/c/4/_cowboy__by_sereneworx.gif[/img]
Вы можете отблагодарить хелперов, которые Вам помогли, добавив им отзыв, а также и весь проект VirusInfo вот [URL="http://virusinfo.info/showthread.php?t=3519"]тут.[/URL]
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
[B]В обязательном порядке установите Сервис Пак 3[/B] - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние [URL="http://update.microsoft.com]обновления системы Windows[/URL] и используемых программ.
02.07.2009, 20:00
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\c\settings\cl.exe - [B]Trojan.Win32.Buzus.bizq[/B] ( DrWEB: Trojan.Inject.5868, BitDefender: Trojan.Buzus.DI )[*] c:\documents and settings\user\doctorweb\quarantine\xhhpgd.exe - [B]Trojan.Win32.Autoit.xp[/B] ( DrWEB: Win32.HLLW.Autoruner.6013, BitDefender: Gen:Trojan.Heur.AutoIT.5166071717 )[/LIST][/LIST]