вирус z-connect

Помогите пожалуйста истребить?

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
DelBHO('{E59EB121-F339-4851-A3BA-FE49C35617C2}');
QuarantineFile('C:\WINDOWS\system32\drivers\ddwin.exe','');
QuarantineFile('C:\autorun.inf','');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\drivers\ddwin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','Microsoft Driver Setup');
DeleteFile('ICQ.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Новые логи

Заразы в логах больше не видно.
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - - (no file)
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.2.28.dll/206 (file missing)
[/code]
Рекомендуется удалить [URL="http://virusinfo.info/showthread.php?t=27923"]Bonjour[/URL], а также обновить IE до версии 8, даже если вы им не пользуетесь.

IE обновлен.
Bonjour удалить никак не получается,даже уничтожителем.
А зловредный z-connect все еще наблюдается =(
Соединение с провайдером работает более менее стабильно только если это подключение переименовываю в z-connect.

Сделайте новый комплект логов, подключив свои USB-носители.

Вот новые логи с подключенной к USB флэшкой

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\drivers\dfwin.exe');
QuarantineFile('c:\windows\system32\drivers\dfwin.exe','');
DeleteFile('c:\windows\system32\drivers\dfwin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\RECYCLER\S-51-9-25-3434476501-1644491933-601013336-1214\dfwin.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторить логи после перезагрузки.
Прислать карантин по Правилам.

Вот логи после выполнения скрипта и перезагрузки:

_________________________
[ATTACH]163324[/ATTACH]

[ATTACH]163325[/ATTACH]

[ATTACH]163326[/ATTACH]

В логах плохого не вижу. Лишнее подключение удалили?

Мое соединение с провайдером ранее было переименовано в z-connect,иначе вирус просто не давал покоя,разъединял буквально каждые 30-60секунд.После выполнения последнего скрипта и перезагрузки переименовала соединение в "Телепорт ТВ",так оно собственно и должно называться.Но z-connect снова дает о себе знать,снова появляется в "Сетевых подключениях" и не дает покоя!:-( А переустановка системы поможет от него избавиться наверняка?

Обновления безопасности на Windows надо устанавливать.

Спасибо огромное за попытки помочь...Про своевременное обновление безопастности системы известно и самой.Но без лицензированного ключа обновить базы программы уж никак нельзя...В том,что компьютер заражен коварным z-connect виновата сама,бесспорно.Но от вируса-то надо как-то избавляться?..Что теперь мне делать-то,не подскажете?=(( Переустановка Windows с форматированием диска C: в данном случае поможет???

В 17:01 вы выложили чистые логи в 17:27 пишете, что снова компьютер заражен. Так что, переустановка Windows с форматированием диска должна помочь, хотябы минут на 20. ;)

А мне как-то не очень смешно...=(((
Связь с провайдером стала обрываться значительно реже,однако то что z-connect все еще снова и снова появляется в сетевых подключениях-факт.

Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме. Это быстро.

Вот:
[ATTACH]163358[/ATTACH]

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\VistaDriveIcon\VistaDrv.exe','');
QuarantineFile('c:\windows\system32\drivers\dfwin.exe','');
DeleteFile('c:\windows\system32\drivers\dfwin.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.
[b]Обновите базы AVZ[/b].
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

Скрипт выполнен,файлы из карантина загружены,базы AVZ обновлены..
Вот лог:
[ATTACH]163364[/ATTACH]

Выполните процедуру, описанную в первом сообщении: [url]http://virusinfo.info/showthread.php?t=3519[/url]

Установите DrWeb или Касперского. Месяц они бесплатно работают. Хоть какая то защита от червей.

Опс.. у вас Kaspersky Internet Security 2009! Как это он ничего не ловит? Рассказывайте.

Архив загружен ;)...

[QUOTE='fallen777;472236']Опс.. у вас Kaspersky Internet Security 2009! Как это он ничего не ловит? Рассказывайте.[/QUOTE] На вопрос ответьте.

Как раз собиралась попробовать DrWeb.Хотя бы месяц и то хорошо.Касперского удалила буквально несколько часов назад!Да,был 2009,базы вроде не такие уж устаревшие,бывает хуже..(обновить никак.Почему-без комментариев...;))Однако от z-connect он не защитил нисколько!:(Даже при полной проверке он вирус этот не видел ни разу...

[QUOTE='fallen777;472243']Да,был 2009,базы вроде не такие уж устаревшие,бывает хуже.[/QUOTE]
Тот вирус-червь-z-connect, который мы удаляем с вашего компьютера снова и снова, был добавлен в базы 16 сентября 2009:
[url]http://www.kaspersky.ru/viruswatchlite?search_virus=Trojan.Win32.Scar.rfv[/url]

А в чем может быть причина, что вирус этот появляется снова и снова после удаления?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Как от него вообще можно избавиться чтоб уже наверняка?

Заплатки, помимо SP3 и IE8, у вас стоят?

заплатки- в смысле обновления?

Угу.

Из того,что помню-Windows Media,Photoshop и Opera,вроде бы больше ничего...

Заплатки на Windows надо ставить. На IE8 в том числе :)

У меня сейчас установлен DrWeb и он с периодичной регулярностью обнаруживает вирусы,причем одни и те же,в местах,где DrWeb уже удалял их прежде :( Почему они появляются снова и снова?Z-connect кстати о себе знать не дает пока антивирус отслеживает и вот так удаляет опасные файлы.Что за файлы хранятся в этой папке,не подскажете? ==>>"C:\D&S\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\G9AVGXM7\14[1].exe"

[size="1"][color="#666686"][B][I]Добавлено через 55 секунд[/I][/B][/color][/size]

в папке Content.IE5

В этой папке храняться вредоносные программы, залезающие в компьютер через дыры в Windows. :)

А чего это они постоянно лезут-то?Совсем что ли Windows у меня дырявый?..

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\ddwin.exe - [B]Worm.Win32.AInfBot.x[/B] ( DrWEB: BackDoor.IRC.Bot.132, BitDefender: Trojan.Generic.2434469 )[*] c:\windows\system32\drivers\dfwin.exe - [B]Trojan.Win32.Scar.rfv[/B] ( DrWEB: BackDoor.Bifrost, BitDefender: Worm.Generic.89443, NOD32: Win32/AutoRun.IRCBot.CR worm, AVAST4: Win32:Trojan-gen {Other} )[*] e:\autorun.inf - [B]Trojan.Win32.AutoRun.db[/B] ( BitDefender: Trojan.AutorunINF.Gen, NOD32: INF/Autorun.gen trojan, AVAST4: BV:AutoRun-AB [Wrm] )[*] e:\recycler\s-51-9-25-3434476501-1644491933-601013336-1214\dfwin.exe - [B]Trojan.Win32.Scar.rfv[/B] ( DrWEB: BackDoor.Bifrost, BitDefender: Worm.Generic.89443, NOD32: Win32/AutoRun.IRCBot.CR worm, AVAST4: Win32:Trojan-gen {Other} )[/LIST][/LIST]