Проблема с z-connect

Здравствуйте!
Появился z-connect, ничем не смог убить.
Заменил имя моего основного соединение на z-connect, дало возможность войти в инет. сделал все шаги указанные Вами.
Спасибо. Жду ответа!

Скачайте новую версию AVZ по ссылке в правилах.
Обновите базы AVZ (файл - обновление баз).

Логи переделать.

Логи переделал.

такой лог [url]http://www.gmer.net/[/url] сделайте ...

Создал лог...

Up...:mail1:

В логах ничего подозрительного не вижу. Может быть во время сканирования утилитами удалилось.
У вас какой антивирус стоит? NOD или McAffee?

Давайте сделаем так:
сделайте станд скрипт №2 в момент, когда z-connect активен.

[size="1"][color="#666686"][B][I]Добавлено через 22 минуты[/I][/B][/color][/size]

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\ati2evxx.exe','');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Прислать карантин по Правилам.

Скрипт выполнил, в карантин закачал
Файл сохранён как090909_163204_virusinfo_cure_4aa7a044058f1.zipРазмер файла354755

MD5e67a03898956e1f1314a59179f68a8bb
Логи прикрепил

профиксить вот этот ключик:
[CODE]O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\notepad.exe[/CODE]
Файл может называться по-другому.
кто его переименовывает и откуда ноги растут пока не ясно.

Сделайте лог МВАМ, но ничего лечить им не надо.

[size="1"][color="#666686"][B][I]Добавлено через 34 минуты[/I][/B][/color][/size]

Выполните:
[CODE]begin
QuarantineFile('c:\windows\system32\taskswitch.exe','');
end.[/CODE]

Пришлите карантин.

Пофиксил.
лог МВАМ сделал...
Заархивировал папку из карантина с паролем virus. Как я понимаю что файл taskswitch.exe поместился в папку quarantin.

Выслал карантин после создания логов
Файл сохранён как090909_192729_virusinfo_cure_4aa7c9613e2d9.zipРазмер файла415199MD5c95619da1e88ca617543381d79d48380

C:\WINDOWS\system32\drivers\notepad.exe - прищлите согласно приложения 2 правил

[QUOTE='V_Bond;465013']C:\WINDOWS\system32\drivers\notepad.exe - прищлите согласно приложения 2 правил[/QUOTE]
Он не найдется. Эта зараза каждый раз переименовывает файл.

есть такое предложение.
профиксить тот ключ что я указал.
Скачать Regmon и настроить его на контроль данного ключа.
Очень важно узнать какой файл туда пишет.

C:\WINDOWS\system32\TaskKillS.exe - вот этого прислать через карантин AVZ

Файл отправил
Файл сохранён как 090909_222123_virus_4aa7f2237589e.zip
Размер файла 78109
MD5 39186c060cb6e241ff7ef3c0be39a0fa

[size="1"][color="#666686"][B][I]Добавлено через 19 минут[/I][/B][/color][/size]

Скачать Regmon и настроить его на контроль данного ключа.
а как это сделать???
а на карантин сейчас пришлю...

Файл отправлен
Файл сохранён как 090909_224402_virus_4aa7f7721b517.zip
Размер файла 138341
MD5 fb9238e748539a54bda9a69e54cb1141

C:\WINDOWS\system32\drivers\notepad.exe -[B]Worm.Win32.AInfBot.o[/B]
выполните скрипт
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\notepad.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи

Сделал начальника:)

Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\TaskKillS.exe ');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделал.

taskswitch.exe - чистый.

[size="1"][color="#666686"][B][I]Добавлено через 58 секунд[/I][/B][/color][/size]

Выполнить:
[CODE]begin
ClearQuarantine;
QuarantineFile('C:\DOCUME~1\2377~1\LOCALS~1\Temp\mc21.tmp','');
end.[/CODE]

если попадет в карантин, то прислать.