a-connect

Printable View

09.11.2009, 22:38
slabur

a-connect

Помогите PLS, справиться с этой заразой!
09.11.2009, 22:45
Aleksandra

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

[CODE]begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
QuarantineFile('D:\WINDOWS\system32\drivers\BSuBT.exe','');
DeleteFile('D:\WINDOWS\system32\drivers\BSuBT.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=59760[/url]

3. Повторите логи.
10.11.2009, 00:04
slabur

Вложений: 3

сделал все, как было написано, о "ОНО" опять вылезло?!
10.11.2009, 00:19
thyrex

Такой лог сделайте [url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url]
11.11.2009, 01:26
slabur

послше сканирования HijackThisInstaller

Вот что имееи
11.11.2009, 01:33
Aleksandra

Повторите логи.
11.11.2009, 02:39
slabur

Вложений: 3

...?
11.11.2009, 02:46
Aleksandra

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('D:\*.exe','');
QuarantineFile('D:\WINDOWS\system32\*.scr','');
QuarantineFile('D:\WINDOWS\system32\drivers\BSuBT.exe','');
DeleteFile('D:\WINDOWS\system32\drivers\BSuBT.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
CopyFile('D:\WINDOWS\System32\notepad.exe','D:\WINDOWS\system32\drivers\BSuBT.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=59760[/url]

3. Повторите логи.
11.11.2009, 02:54
slabur

ОБНОВЛЕННЫЕT ЛОГИ

Пардон! В предыдущем сообщении прикрепил старые логи. Теперь все OK!
11.11.2009, 02:59
Aleksandra

Хорошо. Все равно выполняйте скрипт и загрузите карантин. Повторные логи не делайте пока я не посмотрю карантин.
11.11.2009, 03:49
slabur

ВОЗМОЖНО ЭТО ВАЖНО?!

В моем РС установлено две системы (на диске С:\ и на диске D$\)
A-connect лютует только при загруженной системе D:\Win

Выполнил инструкцию:
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
QuarantineFile('D:\WINDOWS\system32\drivers\BSuBT.exe','');
DeleteFile('D:\WINDOWS\system32\drivers\BSuBT.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=59760[/url]

3. Повторите логи.
11.11.2009, 05:37
Aleksandra

[QUOTE=slabur;506038]В моем РС установлено две системы (на диске С:\ и на диске D$\)
A-connect лютует только при загруженной системе D:\Win[/QUOTE]
Моя ошибка. Подправила скрипт. Выполните еще раз и отправьте карантин.
11.11.2009, 22:33
slabur

Я еще в первый раз в скрипте заменил C на D и сделал второй сеанс. Загружаю 2-й архив для диска D:\

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Нехочу показаться дерзким, (очень достала эта зараза), ничего личного, про шу просмотреть 2-й архив, на предмет "козы", и если все-же где-то осталась сообщить, при этом уже ОГРОМНОЕ СПАСИБО, ТАК КАК уже 2-ой день ( тьфу-тьфу-тьфу) зараза не вылазит!!!
11.11.2009, 23:00
Aleksandra

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINDOWS\system32\25.scr');
DeleteFile('D:\WINDOWS\system32\40.scr');
DeleteFile('D:\WINDOWS\system32\58.scr');
DeleteFile('D:\WINDOWS\system32\66.scr');
DeleteFile('D:\WINDOWS\system32\72.scr');
DeleteFile('D:\WINDOWS\system32\drivers\BSuBT.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
CopyFile('D:\WINDOWS\System32\notepad.exe','D:\WINDOWS\system32\drivers\BSuBT.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

3. Повторите логи.
11.11.2009, 23:04
slabur

Понял.... делаю.
11.11.2009, 23:30
slabur

[B]Aleksandra[/B], надеюсь, что это ... Правильно, ТОРОПИТЬСЯ НЕ НАДО!
12.11.2009, 00:36
Aleksandra

Ничего зловредного в логах нет. Скачайте [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]AVPTool[/URL] и сделайте полную проверку компьютера... После отпишитесь.
14.11.2009, 23:04
slabur

[B]Aleksandra[/B], спасибо Вам большое, сделал сканирование, длилось более 7 часов, AVPTool убил шесть каких-то завирусованных файлов, a-connect больше не появлялся и интернет не обрывал. Все Ok!!! Вам респект!!! virusinfo.info-респект!!!
15.11.2009, 23:04
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]23[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\windows\system32\drivers\bsubt.exe - [B]Trojan.Win32.Kreeper.oa[/B] ( DrWEB: Trojan.Inject.7034, BitDefender: Trojan.Generic.2657820, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Malware-gen )[*] d:\windows\system32\25.scr - [B]Trojan.Win32.Kreeper.oa[/B] ( DrWEB: Trojan.Inject.7034, BitDefender: Trojan.Generic.2657820, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Malware-gen )[*] d:\windows\system32\40.scr - [B]Trojan.Win32.Kreeper.oa[/B] ( DrWEB: Trojan.Inject.7034, BitDefender: Trojan.Generic.2657820, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Malware-gen )[*] d:\windows\system32\58.scr - [B]Trojan.Win32.Kreeper.oa[/B] ( DrWEB: Trojan.Inject.7034, BitDefender: Trojan.Generic.2657820, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Malware-gen )[*] d:\windows\system32\66.scr - [B]Trojan.Win32.Kreeper.oa[/B] ( DrWEB: Trojan.Inject.7034, BitDefender: Trojan.Generic.2657820, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Malware-gen )[*] d:\windows\system32\72.scr - [B]Trojan.Win32.Kreeper.oa[/B] ( DrWEB: Trojan.Inject.7034, BitDefender: Trojan.Generic.2657820, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Malware-gen )[/LIST][/LIST]