z-connect
Проблема, этот злой вирус создает подключение z-connect в папке с подключениями.
И через 10 секунд инет меня выкидывает(
Я почитал на форуме про такие же проблемы и выяснил что для каждого компа нужен свой скрипт(
Printable View
z-connect
Проблема, этот злой вирус создает подключение z-connect в папке с подключениями.
И через 10 секунд инет меня выкидывает(
Я почитал на форуме про такие же проблемы и выяснил что для каждого компа нужен свой скрипт(
Скачайте [URL="http://freedrweb.com/"]CureUt![/URL] и сохраните его на диск (не на рабочий стол).
[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelCLSID('08B0E5C0-4FCB-11CF-AAX5-00401C608512');
QuarantineFile('C:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\system32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2026320516-8757072859-738546703-9832\csvcs.exe','');
TerminateProcessByName('c:\windows\mslsrv32.exe');
QuarantineFile('c:\windows\mslsrv32.exe','');
TerminateProcessByName('c:\windows\mcdrive32.exe');
QuarantineFile('c:\windows\mcdrive32.exe','');
TerminateProcessByName('c:\windows\system32\csrcs.exe');
QuarantineFile('c:\windows\system32\csrcs.exe','');
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('c:\windows\mcdrive32.exe');
DeleteFile('c:\windows\mslsrv32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-2026320516-8757072859-738546703-9832\csvcs.exe');
DeleteFile('C:\WINDOWS\mslsrv32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
DeleteFile('C:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\system32.exe');
DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwconn2.exe');
DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe');
BC_ImportAll;
ExecuteRepair(13);
ExecuteRepair(9);
ExecuteSysclean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
При загрузке жмите F8, чтобы попасть в меню загрузки. Там выберите "Безопасный режим". В этом режиме проведите полную проверку при помощи сохраненного [URL="http://freedrweb.com/"]CureIt[/URL]!
После перезагрузки пришлите попавшие в карантин AVZ файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).
Сделайте новые логи AVZ.
Я загрузил вам файл, щас зделаю скрипт.
Файл сохранён как 090827_224553_virusinfo_cure_4a96d461d8105.zip
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9929713210-0234255149-053893909-9350\csvcs.exe','');
TerminateProcessByName('c:\windows\win7service.exe');
QuarantineFile('c:\windows\win7service.exe','');
TerminateProcessByName('c:\windows\mcdrive32.exe');
QuarantineFile('c:\windows\mcdrive32.exe','');
TerminateProcessByName('c:\dll32.exe');
QuarantineFile('c:\dll32.exe','');
DeleteFile('c:\dll32.exe');
DeleteFile('c:\windows\mcdrive32.exe');
DeleteFile('c:\windows\win7service.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9929713210-0234255149-053893909-9350\csvcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Вот новые скрипты!
[QUOTE=San4ik158;465106]Вот новые скрипты![/QUOTE]
Карантин
Файл сохранён как 090909_232932_virus_4aa8021c7dee2.zip
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Посоветуйте какой антивирус мне лучше поставить на ПК?
Выполните скрипт:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\LBTWiz.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ati2evxx.exe','');
QuarantineFile('C:\WINDOWS\mslsrv32.exe','');
QuarantineFile('C:\WINDOWS\expaende.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1137473042-9885836606-049896126-0888\mwau.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2495711392-7464102446-861000963-6085\csvcs.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe','');
QuarantineFile('c:\windows\system32\drivers\notepad.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\*.*','')
QuarantineFile('C:\WINDOWS\system32\??.scr','')
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\*.exe','')
DeleteFile('c:\windows\system32\drivers\notepad.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-2495711392-7464102446-861000963-6085\csvcs.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1137473042-9885836606-049896126-0888\mwau.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\WINDOWS\expaende.exe');
DeleteFile('C:\WINDOWS\mslsrv32.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ati2evxx.exe');
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5','*.*',true);
DeleteFileMask('C:\WINDOWS\system32','??.scr',false);
DeleteFileMask('C:\Documents and Settings\Администратор\Local Settings\Temp','*.*',true);
BC_ImportALL;
ExecuteSysClean;
ClearHostsFile;
BC_Activate;
RebootWindows(true);
end.[/code]
Система перезагрузится. После перезагрузки загрузите карантин в соответствии с правилами, и повторите процедуру диагностики.
[QUOTE=NickGolovko;465185]Выполните скрипт:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\LBTWiz.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ati2evxx.exe','');
QuarantineFile('C:\WINDOWS\mslsrv32.exe','');
QuarantineFile('C:\WINDOWS\expaende.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1137473042-9885836606-049896126-0888\mwau.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2495711392-7464102446-861000963-6085\csvcs.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe','');
QuarantineFile('c:\windows\system32\drivers\notepad.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\*.*','')
QuarantineFile('C:\WINDOWS\system32\??.scr','')
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\*.exe','')
DeleteFile('c:\windows\system32\drivers\notepad.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-2495711392-7464102446-861000963-6085\csvcs.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1137473042-9885836606-049896126-0888\mwau.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\WINDOWS\expaende.exe');
DeleteFile('C:\WINDOWS\mslsrv32.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ati2evxx.exe');
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5','*.*',true);
DeleteFileMask('C:\WINDOWS\system32','??.scr',false);
DeleteFileMask('C:\Documents and Settings\Администратор\Local Settings\Temp','*.*',true);
BC_ImportALL;
ExecuteSysClean;
ClearHostsFile;
BC_Activate;
RebootWindows(true);
end.[/code]Система перезагрузится. После перезагрузки загрузите карантин в соответствии с правилами, и повторите процедуру диагностики.[/QUOTE]
Не могу использовать!Пишет....Ошибка скрипта: ';' expected, позиция 15:2
Подкорректировано...
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\LBTWiz.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ati2evxx.exe','');
QuarantineFile('C:\WINDOWS\mslsrv32.exe','');
QuarantineFile('C:\WINDOWS\expaende.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1137473042-9885836606-049896126-0888\mwau.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2495711392-7464102446-861000963-6085\csvcs.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe','');
QuarantineFile('c:\windows\system32\drivers\notepad.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\*.*','');
QuarantineFile('C:\WINDOWS\system32\??.scr','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\*.exe','');
DeleteFile('c:\windows\system32\drivers\notepad.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-2495711392-7464102446-861000963-6085\csvcs.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1137473042-9885836606-049896126-0888\mwau.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\WINDOWS\expaende.exe');
DeleteFile('C:\WINDOWS\mslsrv32.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ati2evxx.exe');
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5','*.*',true);
DeleteFileMask('C:\WINDOWS\system32','??.scr',false);
DeleteFileMask('C:\Documents and Settings\Администратор\Local Settings\Temp','*.*',true);
BC_ImportALL;
ExecuteSysClean;
ClearHostsFile;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Вылечено!Спасибо огромное!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Теперь
[QUOTE=NickGolovko;465185]загрузите карантин в соответствии с правилами, и повторите процедуру диагностики.[/QUOTE]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\csrcs.exe - [B]Packed.Win32.Klone.bj[/B] ( DrWEB: Win32.HLLW.Autohit.9855 )[/LIST][/LIST]