z-connect

Printable View

07.09.2009, 11:38
Goreon

z-connect

ВСем добрый день,помогите решить проблему с вирусом z-connect,уже несеолько дней мучаюсь,curelit его находит удаляет,но в скором времени он появляется заново :(
07.09.2009, 11:40
vegas

Читайте Правила. Хотите чтобы вам помогли - сделайте логи
07.09.2009, 11:57
Goreon

Вложений: 1

[ATTACH]159859[/ATTACH]
07.09.2009, 11:58
Goreon

ВРоде все прислал...
07.09.2009, 12:04
vegas

Вы выложили один лог. Где еще два? Логи АВЗ сделайте
07.09.2009, 12:07
Goreon

Вложений: 2

Вот они,и извините за то что торможу :-(
07.09.2009, 12:13
Белый Сокол

virusinfo_cure.zip уберите, нужен syscheck.
07.09.2009, 12:19
Goreon

Теперь думаю правильно =)
07.09.2009, 12:27
Белый Сокол

[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\Fse8hK2g.sys','');
QuarantineFile('c:\docume~1\user\locals~1\temp\rarsfx15\lp3kqxp.exe','');
TerminateProcessByName('c:\docume~1\user\locals~1\temp\rarsfx15\lp3kqxp.exe');
DeleteFile('c:\docume~1\user\locals~1\temp\rarsfx15\lp3kqxp.exe');
DeleteFile('C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\Fse8hK2g.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
BC_Importall;
Executesysclean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).

Обновите базы AVZ и повторите логи.
07.09.2009, 12:46
Goreon

Вложений: 2

Вот логи,карантин отправил.
07.09.2009, 12:55
Белый Сокол

[U]Отключите восстановление системы![/U]

[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{C94E154B-1459-4A47-966B-4B843BEFC7DB}');
QuarantineFile('C:\WINDOWS\system32\drivers\LBTWi.exe','');
DeleteFile('C:\Program Files\AskSearch\bin\DefaultSearch.dll');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
BC_ImportAll;
Executesysclean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).

Готовьте новые логи.
07.09.2009, 13:21
Goreon

Вложений: 2

Вот логи,все сделал как вы сказали,карантин отправил.
07.09.2009, 13:31
Белый Сокол

[B]Выполните скрипт в AVZ [/B](AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\drivers\LBTWi.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

[url="http://forum.kasperskyclub.ru/index.php?showtopic=7607"]Пофиксить в HJT[/url](строки могут отсутствовать):
[CODE]R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\LBTWi.exe[/CODE]
Повторите логи.
07.09.2009, 16:35
Goreon

Вложений: 2

вот логи после выполнения.Одной строки не было в логе...
07.09.2009, 16:44
Белый Сокол

В логе чисто. Жалобы есть?

- Обновите Adobe Reader до актуальной версии.
- Обновите IE.
07.09.2009, 16:54
Goreon

z-connect висит все там же,в папке C:лежит файл b4v9m7s9p9i3.exe

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Сокол это думаю не правильно?Или я ошибаюсь?
07.09.2009, 16:57
Белый Сокол

Пройдитесь по временным папкам и почистите их вручную. И не забудьте активировать отображения для скрытых файлов и папок.
07.09.2009, 16:59
Goreon

Хорошо..
08.09.2009, 16:59
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]27[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe - [B]Trojan.Win32.Buzus.bxsy[/B] ( DrWEB: Win32.HLLW.Recycler.6, BitDefender: Trojan.Generic.2378664, AVAST4: Win32:Trojan-gen {Other} )[*] c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe - [B]Trojan.Win32.Buzus.bxsx[/B] ( DrWEB: Win32.HLLW.Recycler.6, BitDefender: Trojan.Generic.2386405, NOD32: Win32/Agent.HXW trojan, AVAST4: Win32:Trojan-gen {Other} )[*] c:\windows\system32\drivers\lbtwi.exe - [B]Worm.Win32.AInfBot.o[/B] ( DrWEB: BackDoor.IRC.Bot.132, BitDefender: Worm.Generic.84389 )[/LIST][/LIST]