z-connect

Printable View

16.10.2009, 12:25
shaln0y

z-connect

Здравствуйте! Хелп плиз, отрубается инет!
16.10.2009, 13:26
Bratez

[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll (file missing)
O20 - Winlogon Notify: kbdidpla - C:\WINDOWS\system32\kbdidpla.dll (file missing)
O20 - Winlogon Notify: ksdmgr - ksdmgr32.dll (file missing)
O20 - Winlogon Notify: vbscsysi - C:\WINDOWS\system32\vbscsysi.dll (file missing)
O20 - Winlogon Notify: vp7vmcia - C:\WINDOWS\system32\vp7vmcia.dll (file missing)
O20 - Winlogon Notify: winnatkc - C:\WINDOWS\system32\winnatkc.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\e1.dll','');
QuarantineFile('C:\WINDOWS\system32\p3qIfr25IJo.dll','');
QuarantineFile('C:\WINDOWS\system32\nBEd5p.dll','');
QuarantineFile('C:\WINDOWS\system32\1GJQBk0.dll','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
QuarantineFile('C:\RE\BACK\BcK.exe','');
QuarantineFile('c:\NEXT\GENERATION\NeXT.exe','');
QuarantineFile('C:\WINDOWS\mmcc.exe','');
DeleteFile('C:\WINDOWS\mmcc.exe');
DeleteFile('c:\NEXT\GENERATION\NeXT.exe');
DeleteFile('C:\RE\BACK\BcK.exe');
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
DeleteFile('C:\WINDOWS\system32\1GJQBk0.dll');
DeleteFile('C:\WINDOWS\system32\nBEd5p.dll');
DeleteFile('C:\WINDOWS\system32\p3qIfr25IJo.dll');
DeleteFile('C:\WINDOWS\system32\e1.dll');
DelCLSID('{63MAD6M8-1MAD-81AD-JIM6-56OP5G1234999}');
DelCLSID('{77BCK2V0-3HKJ-89VV-XAF2-88KL5R9896622}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=57390[/url]).

Удалите программы ConnectionServices и MyCentria - это adware.
Также рекомендуется удалить BitAccelerator, если он не нужен.

[B]Обновите базы AVZ [/B]и сделайте новые логи.
16.10.2009, 15:16
shaln0y

1. Отключил восстановление системы.
2. Пофиксил в HijackThis
3. Выполнил скрипт в AVZ
4. Карантин выслал.
5. Программы удалил.
6. Обновил базы AVZ
7. Новые логи:
16.10.2009, 15:25
Bratez

Отлично!
Пофиксите еще вот это:
[code]
O4 - HKCU\..\Run: [CS Update] copy /Y "C:\Program Files\ConnectionServices\ConnectionServices.dll.upd" "C:\Program Files\ConnectionServices\ConnectionServices.dll"
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/online/online2/bejeweled2/popcaploader_v6.cab
[/code]
В логах ничего подозрительного не видно.

Подключение [I]z-connect [/I]удалите, больше оно не должно появляться.

Рекомендуется удалить [URL="http://virusinfo.info/showthread.php?t=27923"]Bonjour[/URL], а также
установить SP3 и последующие обновления.
16.10.2009, 15:33
shaln0y

Спасибо Вам огромное!!!
Очень благодарен за быструю и качественную помощь!
17.10.2009, 15:33
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]23[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\next\generation\next.exe - [B]Trojan.Win32.VB.wwb[/B] ( DrWEB: Trojan.Inject.1041, BitDefender: Trojan.Generic.2528154 )[*] c:\program files\connectionservices\connectionservices.dll - [B]Trojan.Win32.ConnectionServices.w[/B] ( DrWEB: Trojan.BhoSpy.2, BitDefender: Trojan.Generic.241832, NOD32: Win32/Adware.BHO.NCM application, AVAST4: Win32:Connection-F [Trj] )[*] c:\windows\system32\e1.dll - [B]Email-Worm.Win32.Warezov.uj[/B] ( DrWEB: Win32.HLLM.Limar.2216, BitDefender: Trojan.Stration.DAQ, NOD32: Win32/Stration.AAZ worm, AVAST4: Win32:Warezov-CYL [Wrm] )[*] c:\windows\system32\nbed5p.dll - [B]Email-Worm.Win32.Warezov.ui[/B] ( DrWEB: Win32.HLLM.Limar, BitDefender: Win32.Warezov.4868, AVAST4: Win32:Trojan-gen )[*] c:\windows\system32\p3qifr25ijo.dll - [B]Email-Worm.Win32.Warezov.asg[/B] ( DrWEB: Win32.HLLM.Limar, BitDefender: Win32.Warezov.226 )[*] c:\windows\system32\1gjqbk0.dll - [B]Email-Worm.Win32.Warezov.ui[/B] ( DrWEB: Win32.HLLM.Limar, BitDefender: Win32.Warezov.4868, AVAST4: Win32:Trojan-gen )[/LIST][/LIST]