z-connect... выручайте.

Printable View

03.10.2009, 19:25
Warcloud

z-connect... выручайте.

Подхватил мой пк z-connect. Не исключаю наличие иных вирусов. Вся надежда на Вас, заранее спасибо.
03.10.2009, 19:56
PavelA

!! База поcледний раз обновлялась 21.08.2009 -- базы обновить..
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-4310279075-2295551084-271662154-4805\csvcs.exe,explorer.exe,C:\RECYCLER\S-1-5-21-3197681052-6393559441-065447471-0958\wnzip32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-4310279075-2295551084-271662154-4805\csvcs.exe','');
QuarantineFile('c:\windows\system32\wshost32.exe','');
QuarantineFile('c:\windows\ncdrive32.exe','');
DeleteFile('c:\windows\system32\wshost32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
DeleteFile('C:\RECYCLER\S-1-5-21-4310279075-2295551084-271662154-4805\csvcs.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-4310279075-2295551084-271662154-4805\csvcs.exe,explorer.exe,C:\RECYCLER\S-1-5-21-3197681052-6393559441-065447471-0958\wnzip32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
Сделать заново логи после перезагрузки.
Прислать карантин по Правилам.
03.10.2009, 20:54
Warcloud

Вирус не удалился. Вот логи:
03.10.2009, 21:31
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-3197681052-6393559441-065447471-0958\wnzip32.exe');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\190.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3197681052-6393559441-065447471-0958\wnzip32.exe','');
QuarantineFile('c:\windows\ncdrive32.exe','');
DeleteFile('c:\windows\ncdrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3197681052-6393559441-065447471-0958\wnzip32.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\190.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\245.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\517.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\587.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\730.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\732.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\779.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\860.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\5Q7YMCQ5\vs8[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
04.10.2009, 12:33
Warcloud

Не помогает:(
Вот логи:
04.10.2009, 12:42
thyrex

[B]Отключите восстановление системы[/B]

Выполните скрипт в AVZ
[code]begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сделать новые логи. Связь все так же прерывается? Или остался только значок соединения z-connect?
04.10.2009, 13:58
Warcloud

Пока все норм.
Дело в том, что у меня установлен еще один хдд с виндой на нем, правда я эту систему не использую(даже не знаю работает ли она). Может ли вирус "бэкапиться" с другого хдд?
Эту систему не жалко - могу без проблем отформатировать диск и переустановить, но данные на втором винте бесценны. Так что на нем вариант только лечение.
04.10.2009, 14:21
thyrex

Порядок.

Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Обновите [URL="http://www.java.com/ru/download/manual.jsp"]JavaRE[/URL]
04.10.2009, 14:34
Warcloud

[B]"Порядок."[/B]
После последней перезагрузки аваст жалуется на "C:\WINDOWS\system32\homlogsrv.dll\[UPX]" (Win32:Siveras-B [Expl])
[B]"Установите SP3 (может потребоваться активация) + все новые заплатки"[/B]
Я так понял можно обойтись обновлением системы?
Спасибо за помощь.
Ах да - с подключением все впорядке уже около часа. Но такое тоже бывало...
04.10.2009, 18:26
thyrex

Хм... Действительно

Выполните скрипт в AVZ
[code]begin
QuarantineFile('c:\windows\system32\homrunsrv.dll','');
end. [/code]

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
04.10.2009, 21:20
Warcloud

От z-connect'a мы избавились, за что Вам спасибо человеческое. Но вот "C:\WINDOWS\system32\homlogsrv.dll\[UPX]" (Win32:Siveras-B [Expl]) продолжает досаждать. Хотя никакого негативного влияния замечено не было, все же антивирус его удалить не может, и диалогове окно продолжает бесконечно оповещать о заразе.
Еще раз спасибо за помощь.
04.10.2009, 23:19
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\windows\system32\homrunsrv.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи
05.10.2009, 12:45
Warcloud

Все-таки продолжает сидеть какая то зараза. Прерывается аплоад; произвольно закрываются qip, download master; аваст негодует...
05.10.2009, 12:57
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\BtSrv.exe','');
QuarantineFile('c:\windows\system32\brchrunsrv.dll','');
DeleteFile('c:\windows\system32\brchrunsrv.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\BrchSrv\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
06.10.2009, 11:34
Warcloud

Вложений: 3

Все выполнил:
06.10.2009, 12:14
Гриша

BtSrv.exe пришлите согласно приложению 2 правил...
06.10.2009, 12:55
Warcloud

Пардон, запамятовал. Машину еще не перезагружал, но судя по всему от вирусов избавились. Спасибо всем огромное, товарищи!
06.10.2009, 13:11
Гриша

C:\WINDOWS\System32\BtSrv.exe-[B]Backdoor.Win32.Hupigon.ifxb [/B]

Выполните скрипт:

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('BitSrv');
DeleteFile('C:\WINDOWS\System32\BtSrv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('BitSrv');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи...
06.10.2009, 18:38
Warcloud

Готово:
06.10.2009, 23:06
AndreyKa

Чисто.
07.10.2009, 09:45
Warcloud

Ура! Спасибо всем еще раз.
08.10.2009, 09:45
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]6[/B][*]Обработано файлов: [B]66[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\администратор\local settings\temporary internet files\content.ie5\5q7ymcq5\vs8[1].exe - [B]Trojan.Win32.Delf.owo[/B] ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Worm.Generic.93792, AVAST4: Win32:Trojan-gen )[*] c:\documents and settings\администратор\local settings\temp\190.exe - [B]Trojan.Win32.Delf.owo[/B] ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Worm.Generic.93792, AVAST4: Win32:Trojan-gen )[*] c:\documents and settings\администратор\local settings\temp\245.exe - [B]Trojan.Win32.Delf.owo[/B] ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Worm.Generic.93792, AVAST4: Win32:Trojan-gen )[*] c:\documents and settings\администратор\local settings\temp\517.exe - [B]Trojan.Win32.Delf.owo[/B] ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Worm.Generic.93792, AVAST4: Win32:Trojan-gen )[*] c:\documents and settings\администратор\local settings\temp\587.exe - [B]Trojan.Win32.Delf.owo[/B] ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Worm.Generic.93792, AVAST4: Win32:Trojan-gen )[*] c:\documents and settings\администратор\local settings\temp\730.exe - [B]Trojan.Win32.Delf.owo[/B] ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Worm.Generic.93792, AVAST4: Win32:Trojan-gen )[*] c:\documents and settings\администратор\local settings\temp\732.exe - [B]Trojan.Win32.Delf.owo[/B] ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Worm.Generic.93792, AVAST4: Win32:Trojan-gen )[*] c:\documents and settings\администратор\local settings\temp\779.exe - [B]Trojan.Win32.Delf.owo[/B] ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Worm.Generic.93792, AVAST4: Win32:Trojan-gen )[*] c:\documents and settings\администратор\local settings\temp\860.exe - [B]Trojan.Win32.Delf.owo[/B] ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Worm.Generic.93792, AVAST4: Win32:Trojan-gen )[*] c:\recycler\s-1-5-21-3197681052-6393559441-065447471-0958\wnzip32.exe - [B]Trojan.Win32.Buzus.casf[/B] ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Worm.Generic.91503 )[*] c:\recycler\s-1-5-21-4310279075-2295551084-271662154-4805\csvcs.exe - [B]Trojan-Downloader.Win32.Agent.cnha[/B] ( DrWEB: Trojan.Qhost.69, BitDefender: Trojan.Dropper.TDY, NOD32: Win32/Peerfrag.AU worm )[*] c:\system volume information\_restore{db2489d1-e591-4b66-bbe2-e442788280f0}\rp1\a0000250.exe - [B]Trojan.Win32.Delf.owo[/B] ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Worm.Generic.93792, AVAST4: Win32:Trojan-gen )[*] c:\system volume information\_restore{db2489d1-e591-4b66-bbe2-e442788280f0}\rp1\a0000251.exe - [B]Trojan.Win32.Delf.owo[/B] ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Worm.Generic.93792, AVAST4: Win32:Trojan-gen )[*] c:\system volume information\_restore{db2489d1-e591-4b66-bbe2-e442788280f0}\rp1\a0000252.exe - [B]Trojan.Win32.Delf.owo[/B] ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Worm.Generic.93792, AVAST4: Win32:Trojan-gen )[*] c:\system volume information\_restore{db2489d1-e591-4b66-bbe2-e442788280f0}\rp1\a0000253.exe - [B]Trojan.Win32.Delf.owo[/B] ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Worm.Generic.93792, AVAST4: Win32:Trojan-gen )[*] c:\system volume information\_restore{db2489d1-e591-4b66-bbe2-e442788280f0}\rp1\a0000254.exe - [B]Trojan.Win32.Delf.owo[/B] ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Worm.Generic.93792, AVAST4: Win32:Trojan-gen )[*] c:\system volume information\_restore{db2489d1-e591-4b66-bbe2-e442788280f0}\rp1\a0000255.exe - [B]Trojan.Win32.Delf.owo[/B] ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Worm.Generic.93792, AVAST4: Win32:Trojan-gen )[*] c:\system volume information\_restore{db2489d1-e591-4b66-bbe2-e442788280f0}\rp1\a0000256.exe - [B]Trojan.Win32.Delf.owo[/B] ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Worm.Generic.93792, AVAST4: Win32:Trojan-gen )[*] c:\system volume information\_restore{db2489d1-e591-4b66-bbe2-e442788280f0}\rp1\a0000257.exe - [B]Trojan.Win32.Delf.owo[/B] ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Worm.Generic.93792, AVAST4: Win32:Trojan-gen )[*] c:\system volume information\_restore{db2489d1-e591-4b66-bbe2-e442788280f0}\rp1\a0000258.exe - [B]Trojan.Win32.Delf.owo[/B] ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Worm.Generic.93792, AVAST4: Win32:Trojan-gen )[*] c:\windows\ncdrive32.exe - [B]Trojan.Win32.Buzus.casf[/B] ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Trojan.Generic.2497240 )[*] c:\windows\system32\btsrv.exe - [B]Backdoor.Win32.Hupigon.ifxb[/B] ( DrWEB: BackDoor.Pigeon.25236 )[*] c:\windows\system32\homrunsrv.dll - [B]Trojan-Downloader.Win32.Agent.cqre[/B] ( DrWEB: Trojan.DownLoader.origin, BitDefender: Trojan.Generic.2515964, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\wshost32.exe - [B]Trojan-Downloader.Win32.Pher.yf[/B] ( DrWEB: Trojan.Packed.162, BitDefender: Trojan.Downloader.JJRI )[/LIST][/LIST]