Z-connect

Printable View

14.09.2009, 14:31
deepofrain

Вложений: 3

Z-connect

Доброго времени суток. Маюсь с зэконектом. Интернет у моего провайдера на комп приходит так: при сетевом подключении есть локалка только. В интернет попадаю с помощью впн-подключения. Месяц назад даже ругался с провом о падающем постоянно впне, пока не нашел в папке сетевых подключений ярлычок зконекта. Впн выпадал раз в минуту. Тогда вылечить не сомг, сделал откат системы.
Зконект до недавнего времени самоудалился.

Лечил каспером. доктор вебом. 2009 нортоном. Нортон не находил. Касперский находил некие файлы но обещал закончить процедуру после перезагрузки, так продолжалось бесконечно. Что делал доктор веб сейчас и не вспомню, В лвбом случае не лечил.

На данный момент, чтобы впн не падал, сделал переименование своего впна в зконект с предварительным удалением того соединения. Сам понимаю, что мера временная, откатывать постоянно систему не хочу, хочу найти решение проблемы. Удивлен что в сети нет пока огбщих заплаток или он не личится антивирусами.
С уважением к службе поддержки
Александр
14.09.2009, 14:52
AndreyKa

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-8068493398-4926836244-531453793-8292\mwau.exe','');
QuarantineFile('c:\windows\w7services.exe','');
QuarantineFile('c:\dll32.exe','');
DeleteFile('c:\dll32.exe');
DeleteFile('c:\windows\w7services.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-8068493398-4926836244-531453793-8292\mwau.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
[b]Обновите базы AVZ![/b]
Сделайте новые логи AVZ и приложите к этой теме.
14.09.2009, 15:38
deepofrain

Вложений: 2

новые логи. пожалуйста.
14.09.2009, 15:54
AndreyKa

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
ClearQuarantine;
QuarantineFile('c:\windows\system32\winin2.exe','');
QuarantineFile('c:\windows\system32\drivers\ddwin.exe','');
DeleteFile('c:\windows\system32\drivers\ddwin.exe');
DeleteFile('c:\windows\system32\winin2.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
14.09.2009, 16:52
deepofrain

Вложений: 1

прикладываю новый лог.
карантин показывает что загружается но потом кажется сбрасывает, к сожалению
не знаю, залился ли новый (45 мегабайт) или нет.
сделал зеркало на народ
[url]http://narod.ru/disk/13124154000/virus.zip.html[/url]

(в автозагрузке всплыли новыe процессы: lbtv.exe, winin.exe, ddwin.exe. в диспетчере задач плавают 14.scr и еще некоторые незнакомые процессы)
и
(нортон перестал автозапускаться)

.........

Результат загрузки
Ошибка загрузки. Данный файл уже был загружен

так что кажется все ок
14.09.2009, 17:24
AndreyKa

[QUOTE='deepofrain;467821']45 мегабайт[/QUOTE]Вы запускали скрипт сбора неопознанных файлов?

Поставьте надежный пароль на учетные записи с правами Администратора.
Установите обновления безопасности на Windows.
Очистите карантин.
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\LBTW.exe','');
QuarantineFile('c:\windows\system32\86.scr','');
QuarantineFile('c:\windows\system32\drivers\ddwin.exe','');
QuarantineFile('c:\windows\system32\drivers\lbtw.exe','');
DeleteFile('c:\windows\system32\drivers\lbtw.exe');
DeleteFile('c:\windows\system32\drivers\ddwin.exe');
DeleteFile('c:\windows\system32\86.scr');
DeleteFile('C:\WINDOWS\system32\drivers\LBTW.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
14.09.2009, 20:02
deepofrain

скрипт неопознанных не запускал, кажется.
остальное сейчас сделаю

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 19 минут[/I][/B][/color][/size]

файл карантина закачан, все прочие действия осуществил
14.09.2009, 22:26
AndreyKa

Нортон заработал?
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
14.09.2009, 23:00
deepofrain

Вложений: 1

заработал. устроил сейчас еще куритом большую проверку. много чего удалилось.
лог прикладываю
15.09.2009, 01:09
vegas

Не все удалилось. Сделайте лог Gmer
15.09.2009, 01:41
deepofrain

Вложений: 1

пожалуйста. и, кстати, спасибо за ненормированную помощь
15.09.2009, 02:43
vegas

Выполните скрипт
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\dqndjlpt.dll','');
DeleteService('sqrvsg');
DeleteFile('C:\WINDOWS\system32\dqndjlpt.dll');
BC_ImportALL;
BC_DeleteSvc('sqrvsg');
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится. Сохраните текст ниже как 12345.bat в ту же папку, где находится fbs33vvh.exe (gmer)
[code]fbs33vvh.exe -del file "C:\WINDOWS\system32\dqndjlpt.dll"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@DisplayName"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@Type"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@Start"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@ErrorControl"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@ImagePath"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@ObjectName"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@Description"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg\Parameters"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg\Parameters@ServiceDll"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@DisplayName"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@Type"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@Start"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@ErrorControl"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@ImagePath"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@ObjectName"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@Description"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg\Parameters"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg\Parameters@ServiceDll"
fbs33vvh.exe reboot[/code]
И запустите 12345.bat
Компьютер перезагрузится
Карантин закачайте. Повторите логи virusinfo syscheck и gmer
15.09.2009, 03:52
deepofrain

Вложений: 2

при запуске 12345батник сказал что dqndjlpt.dll отсутствует.
логи прикладываю.
про карантин: начался другой день и в окне карантина теперь две папочки:
- 0914
и 09-15
в первой есть те файлы что уже закачивал ранее, как я понимаю.
а свеженькая пустая.
[B]отсюда вопрос:[/B] что удалить и что сделать чтобы появился новый нужный файл карантина
15.09.2009, 12:24
vegas

Карантины поудаляйте, новый батник для гмера
[code]fbs33vvh.exe -killall
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@DisplayName"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@Type"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@Start"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@ErrorControl"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@ImagePath"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@ObjectName"
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg@Description"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@DisplayName"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@Type"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@Start"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@ErrorControl"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@ImagePath"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@ObjectName"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg@Description"
fbs33vvh.exe reboot[/code]
Повторите логи
16.09.2009, 00:29
deepofrain

Вложений: 2

прикладываю логи
16.09.2009, 12:10
deepofrain

и еще вопрос. должен ли батник гмера выдавать какие-то ошибки во время выполнения , при которых рпиходится неоднократно нажимать ок, принмая его уведомления что такой файл или сценарий отсутствует? просто делал два раза бат на данныый момент и ситуацияч схожая, а как должно быть я и не знаю.
16.09.2009, 20:38
pig

Ошибки возможны.
16.09.2009, 22:09
thyrex

Сохраните текст ниже как cleanup.bat в ту же папку, где находится fbs33vvh.exe (gmer)
[CODE]fbs33vvh.exe -del service sqrvsg
fbs33vvh.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sqrvsg"
fbs33vvh.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\sqrvsg"
fbs33vvh.exe -reboot[/CODE]И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer
17.09.2009, 00:04
deepofrain

пожалуйста
17.09.2009, 00:13
thyrex

Теперь чисто
17.09.2009, 01:07
deepofrain

алилуйя.
господа хелперы, всем большое спасибо
но есть последний вопрос.
я лдовил зконект на чистой системе. правильно ли я понима, что лечение сейчас было из разряда удалить под корень заразу? но, никако патчения системы и закрытия дыр не проводилось, то бишь он сможет пролезть снова?

если да, есть собственно главный вопрос: как он попадает на комп, и как это можно предотвратить

заранее спасибо
17.09.2009, 09:38
AndreyKa

[QUOTE='deepofrain;469462']но, никако патчения системы и закрытия дыр не проводилось, то бишь он сможет пролезть снова?[/QUOTE]Да, да.

[QUOTE='deepofrain;469462']как он попадает на комп, и как это можно предотвратить[/QUOTE]Через уязвимости в Windows и др. программах.
Как предотвратить: [url]http://virusinfo.info/showthread.php?t=30339[/url]
17.09.2009, 23:36
deepofrain

я думал есть какой-то целенаправленный вариант.
еще раз спасибо
18.09.2009, 23:36
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]127[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\dll32.exe - [B]Trojan.Win32.Refroso.kaf[/B] ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: IRC-Worm.Generic.6582, NOD32: Win32/TrojanProxy.Agent.NEL trojan, AVAST4: Win32:Trojan-gen {Other} )[*] c:\recycler\s-1-5-21-8068493398-4926836244-531453793-8292\mwau.exe - [B]P2P-Worm.Win32.Palevo.jpa[/B] ( DrWEB: BackDoor.IRC.Letmein.13, NOD32: Win32/Peerfrag.DR worm, AVAST4: Win32:Trojan-gen {Other} )[*] c:\windows\system32\drivers\ddwin.exe - [B]Worm.Win32.AInfBot.x[/B] ( DrWEB: BackDoor.IRC.Bot.132, BitDefender: Trojan.Generic.2434469 )[*] c:\windows\system32\drivers\lbtw.exe - [B]Worm.Win32.AInfBot.x[/B] ( DrWEB: BackDoor.IRC.Bot.132, BitDefender: Trojan.Generic.2452065, AVAST4: Win32:Agent-AGZK [Trj] )[*] c:\windows\system32\winin2.exe - [B]Trojan-Downloader.Win32.Agent.cqjr[/B] ( DrWEB: Trojan.Proxy.5961, BitDefender: Trojan.Agent.ANNY )[*] c:\windows\system32\86.scr - [B]Worm.Win32.AInfBot.x[/B] ( DrWEB: BackDoor.IRC.Bot.132, BitDefender: Trojan.Generic.2434469 )[*] c:\windows\w7services.exe - [B]Backdoor.Win32.SdBot.owb[/B] ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Backdoor.IRCBot.ACUY, NOD32: IRC/SdBot trojan, AVAST4: Win32:Trojan-gen )[/LIST][/LIST]