Помогите пожалуйста истребить?
Printable View
Помогите пожалуйста истребить?
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
DelBHO('{E59EB121-F339-4851-A3BA-FE49C35617C2}');
QuarantineFile('C:\WINDOWS\system32\drivers\ddwin.exe','');
QuarantineFile('C:\autorun.inf','');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\drivers\ddwin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','Microsoft Driver Setup');
DeleteFile('ICQ.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Новые логи
Заразы в логах больше не видно.
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - - (no file)
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.2.28.dll/206 (file missing)
[/code]
Рекомендуется удалить [URL="http://virusinfo.info/showthread.php?t=27923"]Bonjour[/URL], а также обновить IE до версии 8, даже если вы им не пользуетесь.
IE обновлен.
Bonjour удалить никак не получается,даже уничтожителем.
А зловредный z-connect все еще наблюдается =(
Соединение с провайдером работает более менее стабильно только если это подключение переименовываю в z-connect.
Сделайте новый комплект логов, подключив свои USB-носители.
Вот новые логи с подключенной к USB флэшкой
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\drivers\dfwin.exe');
QuarantineFile('c:\windows\system32\drivers\dfwin.exe','');
DeleteFile('c:\windows\system32\drivers\dfwin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\RECYCLER\S-51-9-25-3434476501-1644491933-601013336-1214\dfwin.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторить логи после перезагрузки.
Прислать карантин по Правилам.
Вот логи после выполнения скрипта и перезагрузки:
_________________________
[ATTACH]163324[/ATTACH]
[ATTACH]163325[/ATTACH]
[ATTACH]163326[/ATTACH]
В логах плохого не вижу. Лишнее подключение удалили?
Мое соединение с провайдером ранее было переименовано в z-connect,иначе вирус просто не давал покоя,разъединял буквально каждые 30-60секунд.После выполнения последнего скрипта и перезагрузки переименовала соединение в "Телепорт ТВ",так оно собственно и должно называться.Но z-connect снова дает о себе знать,снова появляется в "Сетевых подключениях" и не дает покоя!:-( А переустановка системы поможет от него избавиться наверняка?
Обновления безопасности на Windows надо устанавливать.
Спасибо огромное за попытки помочь...Про своевременное обновление безопастности системы известно и самой.Но без лицензированного ключа обновить базы программы уж никак нельзя...В том,что компьютер заражен коварным z-connect виновата сама,бесспорно.Но от вируса-то надо как-то избавляться?..Что теперь мне делать-то,не подскажете?=(( Переустановка Windows с форматированием диска C: в данном случае поможет???
В 17:01 вы выложили чистые логи в 17:27 пишете, что снова компьютер заражен. Так что, переустановка Windows с форматированием диска должна помочь, хотябы минут на 20. ;)
А мне как-то не очень смешно...=(((
Связь с провайдером стала обрываться значительно реже,однако то что z-connect все еще снова и снова появляется в сетевых подключениях-факт.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме. Это быстро.
Вот:
[ATTACH]163358[/ATTACH]
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\VistaDriveIcon\VistaDrv.exe','');
QuarantineFile('c:\windows\system32\drivers\dfwin.exe','');
DeleteFile('c:\windows\system32\drivers\dfwin.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.
[b]Обновите базы AVZ[/b].
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
Скрипт выполнен,файлы из карантина загружены,базы AVZ обновлены..
Вот лог:
[ATTACH]163364[/ATTACH]
Выполните процедуру, описанную в первом сообщении: [url]http://virusinfo.info/showthread.php?t=3519[/url]