z-connect

Printable View

03.08.2009, 11:52
Morrow

Вложений: 2

z-connect

Здравствуйте!
Ко мне каким то образом залез [COLOR=Magenta]z-connect[/COLOR] из-за него инет вырубает, пробывал [COLOR=Magenta]DRWeb[/COLOR] по советам друзей, он не справился !Помогите пожалуйста разобраться!
[COLOR=DarkOrchid][B]Заранее спасибо![/B][/COLOR]

Вот логи.......:
03.08.2009, 12:31
Rene-gad

Догрузите лог virusinfo_syscheck.zip
Карантин virusinfo_cure.zip закачать тут:[url]http://virusinfo.info/upload_virus.php?tid=51209[/url]
03.08.2009, 12:49
Morrow

Вложений: 1

[QUOTE=Rene-gad;441951]Догрузите лог virusinfo_syscheck.zip
Карантин virusinfo_cure.zip закачать тут:[URL]http://virusinfo.info/upload_virus.php?tid=51209[/URL][/QUOTE]
.................
1)Файл догрузил
2)Карантин закачал: 90803_124511_virusinfo_cure_4a76a397169d2.zip
03.08.2009, 12:57
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C642131}');
QuarantineFile('C:\System Volume Information\_restore{15147716-76D1-4D08-9E50-0B78A7C58DC8}\RP169\A0185852.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\vshost.exe','');
QuarantineFile('c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe','');
QuarantineFile('C:\Documents and Settings\юра.3B6EEA1EF2BC49C\Шаблоны\WowTumpeh.com','');
QuarantineFile('C:\DOCUME~1\A431~1.3B6\LOCALS~1\Temp\services.exe','');
TerminateProcessByName('c:\docume~1\a431~1.3b6\locals~1\temp\vshost32.exe');
QuarantineFile('c:\docume~1\a431~1.3b6\locals~1\temp\vshost32.exe','');
DeleteFile('c:\docume~1\a431~1.3b6\locals~1\temp\vshost32.exe');
DeleteFile('C:\DOCUME~1\A431~1.3B6\LOCALS~1\Temp\services.exe');
DeleteFile('C:\Documents and Settings\юра.3B6EEA1EF2BC49C\Шаблоны\WowTumpeh.com');
DeleteFile('c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe');
DeleteFile('C:\vshost.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\vshost.exe');
DeleteFile('C:\System Volume Information\_restore{15147716-76D1-4D08-9E50-0B78A7C58DC8}\RP169\A0185852.exe');
DeleteFileMask('C:\DOCUME~1\A431~1.3B6\LOCALS~1\Temp\', '*.*', true);
DeleteFile('C:\Windows\Tasks\At1.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
ExecuteRepair(17);
SetAVZPMStatus(True);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Папку [B]C:\System Volume Information[/B] удалите [URL="http://support.microsoft.com/?scid=kb%3Bru%3B309531&x=11&y=12"]вручную[/URL]

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи + лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
03.08.2009, 14:43
Morrow

Вложений: 4

1)Скрипт выполнил
2) Папка "System Volume Information" не удаляется. Пишет не удалось удалить..........нет доступа
3)В карантин загрузил :[SIZE=2]Файл сохранён как[/SIZE][SIZE=2]090803_144000_virus_4a76be805fc65.zip[/SIZE][SIZE=2]Размер файла[/SIZE][SIZE=2]134727[/SIZE][SIZE=2]MD5[/SIZE][SIZE=2]9c686d28ae2abb862a35257323c36e28[/SIZE]
4) Логи сделал:
03.08.2009, 14:52
Rene-gad

[QUOTE=Morrow;442021]
2) Папка "System Volume Information" не удаляется. Пишет не удалось удалить..........нет доступа[/QUOTE]
Вы на ссылку в слове ВРУЧНУЮ нажимали?
03.08.2009, 15:14
Morrow

Всё уд[COLOR="Red"][B]а[/B][/COLOR]лил я эту папку ....:clapping:
03.08.2009, 15:22
Rene-gad

А вот теперь сделайте новые логи :)
03.08.2009, 16:07
Morrow

Вложений: 4

Вот эти чёртовы логи :D

Вот закачал в карантин:

Результат загрузки
Файл сохранён как 090803_160808_virus_4a76d328986e9.zip
Размер файла 134727
MD5 8a1ba4f508946948cdf565cb3e256070
Файл закачан, спасибо!
03.08.2009, 16:22
Rene-gad

Код:
[CODE]gmer.exe -del service vsfocenksrubqm
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vsfocenksrubqm"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\vsfocenksrubqm"
gmer.exe -del file "%systemroot%\system32\vsfocejoobxxnc.dll"
gmer.exe -del file "%systemroot%\system32\vsfoceqfnlepkt.dat"
gmer.exe -del file "%systemroot%\system32\vsfoceevstalib.dll"
gmer.exe -del file "%systemroot%\system32\vsfoceaqbdqomo.dat"
gmer.exe -del file "%systemroot%\system32\drivers\vsfocekiqvrsdj.sys"
gmer.exe -reboot[/CODE]
скопируйте в [B]новый текстовый файл[/B], сохраните его в той папке, где у Вас файл gmer.exe под именем [B]123.bat[/B] и запустите.
После перезагрузки повторите логи по правилам + gmer.
03.08.2009, 17:08
Morrow

Вложений: 4

:O:?Наверное всё ? ;)

Результат загрузки
Файл сохранён как 090803_170903_virus_4a76e16fcb89c.zip
Размер файла 134727
MD5 ab7c5d5906a0d5e5cd4bd29c16299484
Файл закачан, спасибо!
03.08.2009, 18:15
thyrex

Задержитесь еще немного :)

Скачайте [url="http://www2.gmer.net/mbr/mbr.exe"]mbr[/url]
После запуска в папке с программой найдете mbr.log
Его и выложите
03.08.2009, 20:55
Morrow

Вложений: 1

\_:>_/
||
--
03.08.2009, 21:21
thyrex

Ложная тревога

Установите Internet Explorer 8
Установите Adobe Acrobat 9.1 или удалите старый
04.08.2009, 00:28
Morrow

Спасибо вам .......... у меня всё вылечилось :clapping:
05.08.2009, 00:28
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]69[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\docume~1\a431~1.3b6\locals~1\temp\vshost32.exe - [B]IM-Worm.Win32.Agent.pt[/B] ( DrWEB: Win32.HLLW.Autoruner.7359, BitDefender: Win32.Worm.IMStealer.A )[*] c:\vshost.exe - [B]IM-Worm.Win32.Agent.pt[/B] ( DrWEB: Win32.HLLW.Autoruner.7359, BitDefender: Win32.Worm.IMStealer.A )[*] d:\vshost.exe - [B]IM-Worm.Win32.Agent.pt[/B] ( DrWEB: Win32.HLLW.Autoruner.7359, BitDefender: Win32.Worm.IMStealer.A )[/LIST][/LIST]