-
Вирус z-connect
Появилась проблема. Вырубаетсо инет каждые 5 минут я с помощью проги AVZ еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыетак как показанно тут Нашёл в сети такой софт: AVZ
Скачать его можно здесь: [url]http://infkom.ru/pub/avz4.zip[/url]
Качаем AVZ, закрываем все приложения и выгружаем всё из трея, потом запускаем программу, кликаем Файл >> Выполнить скрипт и копируем туда вот этот скрипт:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe','');
QuarantineFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe','');
DeleteFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe');
DeleteFile('C:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187322}');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187332}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Кликаем "Запустить" и ждём…. Компьютер должен перезагрузиться, а вирус умереть.
Токо вирус всё равно осталсо и отключает инет(((....помогите пожалусто
-
странное письмо Вы написали.
1- для скачки AVZ есть сайт z-oleg.com
2- по Правилам надо прислать 3 лога.
-
У меня этот вирус уже весь комп слопал хДД блин
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
вродь этого подключения больше не показывает но комп начал лагать и не ася ни чё на столе не открываетсо( и инет тупит.
[size="1"][color="#666686"][B][I]Добавлено через 9 часов 14 минут[/I][/B][/color][/size]
Опять инет отключается((((
-
Вложений: 2
-
[url=http://virusinfo.info/pravila.html]Правила[/url] прочитали? Если да - почему логи неправильные?
-
-
Если заметите что то подозрительное кроме z-connect, мб тоже вылечите =)
-
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
--- лечится Вам от файлового вируса. Как и что делать читать в "Чаво"
-
А z-connect нету его?
[size="1"][color="#666686"][B][I]Добавлено через 21 минуту[/I][/B][/color][/size]
И нет у меня другого компа чтроб скачать антивирь как написанно в посте Чаво
[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]
Результат загрузкиФайл сохранён как 090916_160701_2009-09-15_4ab0d4e56e2d8.zip
Размер файла 1080518
MD5 ba6f29a2e20f94beceeb0050bfb28e1c
Файл закачан, спасибо!
-
Virus.Win32.Virut.ce - вот это в карантине. Пока не вылечитесь, бесполезно продолжать.
-
Новые логи после проверки доктора веб
-
Все осталось по-прежнему. Вирус жив и будет жить, пока его не убьют с чистого диска.
-
А это Список отчёта от DrWeb
-
Блин у меня нет компа чтоб скачать с инета и на диск((
[size="1"][color="#666686"][B][I]Добавлено через 41 секунду[/I][/B][/color][/size]
Мож у друзей посмотрю
-
Доктор хорошо поработал.
Скачайте AVZ из моей подписи и повторите логи.
-
Я Поработал ещё доктором в безопаснов режиме сделал ещё одну полную проверку он вроде всё вылечил щяс пришлю логи
-
Пока он(Доктор) что-то будет находить, надо лечиться.
-
Вложений: 3
-
Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}');
QuarantineFile('C:\WINDOWS\system32\1D.tmp','');
QuarantineFile('C:\WINDOWS\system32\.\1E.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
DeleteService('sysdrv32');
QuarantineFile('C:\Program Files\Common Files\System\cgkchtw.dll','');
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
QuarantineFile('c:\documents and settings\user\sys64_nov.exe','');
QuarantineFile('c:\windows\system32\sys64_nov.exe','');
QuarantineFile('c:\windows\fonts\services.exe','');
QuarantineFile('c:\6281,199.exe','');
QuarantineFile('c:\windows\system32\1e.tmp','');
QuarantineFile('c:\windows\system32\1d.tmp','');
DeleteFile('c:\windows\system32\1d.tmp');
DeleteFile('c:\windows\system32\1e.tmp');
DeleteFile('c:\6281,199.exe');
DeleteFile('c:\windows\fonts\services.exe');
DeleteFile('c:\windows\system32\sys64_nov.exe');
DeleteFile('c:\documents and settings\user\sys64_nov.exe');
DeleteFile('C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DeleteFile('C:\WINDOWS\system32\servises.exe');
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
DeleteFile('C:\WINDOWS\system32\.\1E.tmp');
DeleteFile('C:\WINDOWS\system32\1D.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','23174');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','sys64_nov');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','sys64_nov');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sys64_nov');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин по Правилам.
Сделать заново логи после перезагрузки.
-
Вот логи. В карантине пусто.:)
-
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\23.tmp.exe','');
QuarantineFile('C:\WINDOWS\fonts\services.exe','');
QuarantineFile('C:\Program Files\Common Files\System\cgkchtw.dll','');
DeleteFile('C:\Program Files\Common Files\System\cgkchtw.dll');
DeleteFile('C:\WINDOWS\fonts\services.exe');
DeleteFile('C:\WINDOWS\system32\23.tmp.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','29807');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
SetAVZPMStatus(True);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
-
Профиксить:
[CODE]
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O4 - HKLM\..\Run: [29807] C:\WINDOWS\system32\23.tmp.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
[/CODE]
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\23.tmp','');
DeleteFile('C:\WINDOWS\system32\23.tmp');
DeleteFile('C:\WINDOWS\fonts\services.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
повторить логи.
-
-
Карантин выслал согласно правилам.
-
'C:\WINDOWS\system32\23.tmp' - HEUR:Trojan.Win32.Generic
-
Исцелил доктор. в карантине ничего нет. вот новые логи.
-
ещё у меня начало после примерно пяти-десяти минут после запуска Windows появлятся такое окно с названием "svchost.exe-Ошибка приложения" в ней написано Инструкция по адресу "0x6fe216e2" обратилась к памяти по адресу "0x6fe216e2". Память не может быть "read". Жал и отмену и ок. но компьютер начинает лагать и инет перестаёт работать. а в панели ниже где пуск она становится в класический меню.
-
Думается, надо провериться sfc /scannow. Только надо иметь на готове дистрибутив
Windows.
-
чевой? слово sfc /scannow и дистрибутив непонятные
-
Пуск -- Выполнить -- sfc /scannow . Если потребует, вставишь диск, откуда систему ставил.
-
если бы был у меня этот диск
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system\winrsc.exe - [B]Virus.Win32.Virut.ce[/B] ( DrWEB: Win32.Virut.56, BitDefender: Trojan.Generic.2464253, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Vitro )[*] c:\windows\system32\drivers\protect.sys - [B]Rootkit.Win32.Agent.jj[/B] ( DrWEB: Trojan.NtRootKit.429, BitDefender: Trojan.Generic.2206884, NOD32: Win32/SpamTool.Agent.NAJ trojan, AVAST4: Win32:Trojan-gen )[*] c:\windows\system32\drivers\regv.bak - [B]Backdoor.Win32.SdBot.luy[/B] ( DrWEB: BackDoor.IRC.Sdbot.4826, BitDefender: Application.Generic.203247, AVAST4: Win32:Trojan-gen {Other} )[*] c:\windows\system32\drivers\sysdrv32.sys - [B]Worm.Win32.AutoRun.ftp[/B] ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.Agent.AJBM, AVAST4: Win32:Tcpz [Tool] )[*] c:\windows\system32\mswinsck.ocx - [B]Email-Worm.Win32.Nyxem.bh[/B] ( DrWEB: Win32.HLLM.Generic.455, BitDefender: Win32.Worm.Nyxem.F, AVAST4: Win32:Trojan-gen )[*] c:\windows\system32\14.tmp - [B]Packed.Win32.Krap.x[/B] ( DrWEB: Trojan.Spambot.2424, BitDefender: Trojan.Spammer.Tedroo.BV, AVAST4: Win32:Preald-AJ [Drp] )[*] c:\windows\system32\23.tmp - [B]Trojan.Win32.Obfuscated.ahvq[/B] ( DrWEB: Trojan.DownLoad.44766, BitDefender: Backdoor.Hupigon.166818, AVAST4: Win32:Hupigon-LIE [Trj] )[*] c:\windows\system32\54.tmp - [B]Packed.Win32.Krap.x[/B] ( DrWEB: Trojan.Spambot.2424, BitDefender: Trojan.Spammer.Tedroo.BV, AVAST4: Win32:Preald-AJ [Drp] )[/LIST][/LIST]
Page generated in 0.01439 seconds with 10 queries