z-connect

Подцепил где-то этот вирус. Вирус (примерно раз в одну-две минуты) рвёт соединение с инетом, создаёт новое подключение (со своим именем) в папке "Сетевые подключения", пытается соединиться с инетом сам.
После простого удаления из этой папки восстанавливается самостоятельно.
Прошу помочь с решением этой проблемы.

Сделал всё, как в сказано в "Правилах", вот только не получилось в "карантин" ничего скопировать: после выполнения действия "Добавление в карантин по списку" при просмотре карантина там только пустая папка с именем сегодняшней даты.
Поэтому прикреплю фалы вручную к письму, а если так не годится - пожалуйста, объясните, что не так сделал.

С уважением, Дима.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\Regvi.exe
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
[/CODE]
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('%windir%\system32\drivers\Regvi.exe','');
QuarantineFile('Explorer.exe %windir%\system32\drivers\Regvi.exe','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\RECYCLER\S-51-9-25-3434476501-1644491960-601003312-1214\sysmon.exe','');
DeleteFile('C:\RECYCLER\S-51-9-25-3434476501-1644491960-601003312-1214\sysmon.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('Explorer.exe %windir%\system32\drivers\Regvi.exe');
DeleteFile('%windir%\system32\drivers\Regvi.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('');
ExecuteRepair(17);
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

После перезагрузки:

- Удалите [URL="http://virusinfo.info/showthread.php?t=27923"]Bonjour[/URL].
- Удалите TuneUp.
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=Xoxa;453407]
Сделал всё, как в сказано в "Правилах", вот только не получилось в "карантин" ничего скопировать: после выполнения действия "Добавление в карантин по списку" при просмотре карантина там только пустая папка с именем сегодняшней даты.[/QUOTE]Не бегите поперед батька в пекло © :)

Новое сообщение:

что с проблемами?

На какое-то время вирус исчез, но потом снова появился. Может, это повторно инфицировался из локальной сети? (Хотя ничего с локалки не качал)

А он и будет появляться. Пока не пропатчите надлежащим образом систему.
[QUOTE]Platform: Windows XP SP2 (WinNT 5.01.2600)[/QUOTE]
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить [B][COLOR="Red"]все защитные приложения[/COLOR][/B] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[QUOTE]MSIE: Internet Explorer v7.00 (7.00.5730.0011)[/QUOTE]
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/URL].

Потом - логи по правилам.

Установил Сервис Пак 3, эксплорер 8, логи:

скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-51-9-25-3434476501-1644491960-601003312-1214\sysmon.exe','');
DeleteFile('C:\RECYCLER\S-51-9-25-3434476501-1644491960-601003312-1214\sysmon.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам.
Повторите логи.

Новые логи:

Жалобы есть?

Да, вирус по-прежнему живой.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью [url="http://www.atribune.org/ccount/click.php?id=1"]ATF Cleaner[/url]
- скачайте [url="http://www.atribune.org/ccount/click.php?id=1"]ATF Cleaner[/url], запустите, поставьте галочку напротив [b]Select All[/b] и нажмите [b]Empty Selected.[/b]
- если вы используете [b]Firefox[/b], нажмите [b]Firefox - Select All - Empty Selected[/b].
- нажмите [b]No[/b], если вы хотите оставить ваши сохраненные пароли.
- если вы используете [b]Opera[/b], нажмите [b]Opera - Select All - Empty Selected[/b].
- нажмите [b]No[/b], если вы хотите оставить ваши сохраненные пароли.

Сделайте лог гмер по правилам [url]http://virusinfo.info/showthread.php?t=40118[/url]

Лог гмера:

- Сделайте лог [URL="http://www.malwarebytes.org/mbam-download.php"]MBAM[/URL].

Пишет "Unicode systems are currently not supported"

[QUOTE=Xoxa;456320]Пишет "Unicode systems are currently not supported"[/QUOTE]
Это что-то новенькое :) Вы файл [B]mbam-setup.exe[/B] скачали?

Похоже, изначально не ту программу установил. А теперь, впроде, ту) Лог:

Вот это надо удалить
[CODE]Заражено файлов:
C:\RECYCLER\S-51-9-25-3434476501-1644491960-601003312-1214\sysmon.exe (Generic.Bot.H) -> No action taken.
C:\Documents and Settings\Администратор\q9h3g1d9e4g3.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Мои документы\Зет конекшн\avz4_2\avz4\Quarantine\2009-08-25\avz00001.dta (Backdoor.Bot) -> No action taken.
C:\RECYCLER\S-51-9-25-3434476501-1644491959-601003312-1214\msreg.exe (Worm.AutoRun) -> No action taken.
C:\Documents and Settings\Администратор\t9d2a1l6q2e1.exe (Worm.Autorun) -> No action taken.[/CODE]Запустите программу, выберите [b]Perform Full Scan[/b] (Провести полную проверку), нажмите [b]Scan[/b] (Проверить), после сканирования выберите [b]Ок[/b] и далее [b]Show Results[/b] (Показать результаты), нажмите [b]Remove Selected[/b] (удалить выделенные, внимание - проверьте то, что удаляете). [b]После[/b] удаления откройте лог и прикрепите его к сообщению.

Что касается остального содержимого этой части лога, на Ваше усмотрение

Ну, вроде с вирусом всё, вот только теперь две новости странных появилось: 1)При загрузке винды всплывает мастер установки чего-то,жуму "Отмена", и закрывается. 2) При включении флешки пишет "отказано в доступе", хотя она проверялась на вирусы наряду со всеми, и при помощи ACDC всё-таки открыть файлы с неё возможно. В чём тут дела?

Выполните скрипт в AVZ:
[code]
begin
DeleteFile('c:\RECYCLER\S-51-9-25-3434476501-1644491960-601003312-1214\sysmon.exe');
ExecuteSysClean;
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
SetAVZPMStatus(false);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Если "неизвестное устройство" опять появится - удалите его в Диспетчере устройств.

Повторите лог по п.2 Диагностики.