z-connect

Недавно подхватил эту заразу, почитал как с ней борятся, попробовал ничего не получилось!! Помогите пожалуйста!! В корне висит файл u2e1l7h8y9y6.exe, я его удаляю, но он снова появляется

- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[B]- Антивирус и Файрвол.[/B]
- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HiJackThis:[/URL]
[CODE]R3 - URLSearchHook: (no name) - - (no file)[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Новая папка.rar','');
QuarantineFile('C:\BOOK\Предметы\1 -й семестр\I -й семестр\СиАОД\Laba3\NONAME00.EXE','');
QuarantineFile('C:\WINDOWS\Cursors\services.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\axvodka.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\axvdkbus.sys','');
QuarantineFile('c:\windows\system32\drivers\bslbt.exe','');
QuarantineFile('vsmvhk.dll','');
DeleteFile('c:\windows\system32\drivers\bslbt.exe');
DeleteFile('C:\WINDOWS\Cursors\services.exe');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(8); {восстановление настроек проводника}
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
[B]- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/B]
- Сделайте повторные логи согласно [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
[I]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log[/I]
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.

Соединений z connect осталось, файл карантина выслал!!

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('c:\windows\system32\vsmvhk.dll','');
DeleteFile('C:\Новая папка.rar');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(false);
BC_Activate;
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
После перезагрузки:
- Сделайте повторные логи согласно пункта 2 [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
[I]virusinfo_syscheck.zip[/I]
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
[URL="http://virusinfo.info/showthread.php?t=40118"]Сделайте лог с помощью GMER.[/URL]
[I]gmer.log[/I]
- Прикрепите новые логи к новому сообщению в этой ветке.


Файл с непонятным именем в корне появляется или уже нет?

Файл не появляется!! Карантин отправил!

Файл снова появился ((((

Сделайте полную проверку AVPTool или CureIt.
Установите все обновления, вышедшие после SP3.
Установите сложный пароль на встроенную учётную запись администратора.

Повторите логи.

Какой лучше антивирь использовать?? У меня стоит Avast и постоянно обновляю Cureit

Загрузите заново одно из:
[url]ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe[/url]
[url]http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/[/url]
[url]ftp://vba.ok.by/vba/Vba32Check.exe[/url]

Загрузитесь в безопасном режиме и запустите загруженный файл.

Вы ShadowUser используете? Все действия выполнять в [U]отключенном[/U] Shadow Mode.

Выполните в AVZ скрипт из файла [url=http://df.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url] и приложите к этой теме файл c:\avz_log.txt

Файл с непонятным именем больше не появляется, соединение z-connect тоже!!! Высылаю запрошенные логи

Установите обновления безопасности на Windows.
Обновите Adobe Acrobat Reader.

Снова появились и соединение z-connect и файл u2e1l7h8y9y6.exe

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Как установить обновление безопасности??

[url=http://support.microsoft.com/kb/306525]Настройка и использование автоматических обновлений в Windows XP[/url]

Автоматическое обновление включил, а что делать с z-connect и ехе-шником ???

После того, как [B]установите[/B] обновления и перезагрузите компьютер, можно будет их окончательно удалить.

Одни обновления поставились и сразу начали качаться другие

А Вы можете этот таинственный появляющийся файл упаковать в zip-архив с паролем virus и выслать в Карантин?

Сделал архив virus.zip с паролем virus, отправил через карантин

u2e1l7h8y9y6.exe - KIS 2009: Trojan.Win32.Buzus.cdfs; DrWEB 5.0: BackDoor.IRC.Bot.143
Аваст не знает.

Я его AVPTool удалил, но он снова появился

[size="1"][color="#666686"][B][I]Добавлено через 1 час 25 минут[/I][/B][/color][/size]

Второе обновление скачалось но не показывает что устанавливается

[size="1"][color="#666686"][B][I]Добавлено через 19 минут[/I][/B][/color][/size]

Сделал все обновления!!!

И..?

Ни соединения ни файла нет, правда был старнный процесс, но я его завершил

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

На флешке появляется autorun.inf, avast его удаляет но он снова появляется, в папке F:\RECYCLER\S-51-9-25-3434476501-1644491933-601013339-1214 лежит файл BSLBT.exe

Логи делайте.

Выложил логи!! Карантин высылать??

Погодите слать. Сначала посмотрим логи.

Очистите карантин AVZ.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('F:\RECYCLER\S-51-9-25-3434476501-1644491933-601013339-1214\BSLBT.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\BSLBT.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\BSLBT.exe');
DeleteFile('F:\RECYCLER\S-51-9-25-3434476501-1644491933-601013339-1214\BSLBT.exe');
DeleteFile('F:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

Учтите: у Вас вирус, который передаётся по флешкам. Ту флешку, что была в компьютере во время лечения, мы почистили. Но другие флешки могут быть ещё заражены. Если Ваш антивирус не справляется с этим вирусом, повторное заражение может произойти.

Если Вы хотите отключить автозапуск, таким образом предотвращая заражение от этого типа вирусов, скопируйте текст ниже в Блокнот:
[CODE]Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ShellHWDetection\]
"Start"=dword:00000004

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000FF
"NoDriveAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
[/CODE]

Сохраните текст как 1.reg, а затем дважды кликните на нём. Внесение информации в реестр - разрешите.

Учтите, что после выполнения этих действий отключится автозапуск, и Вам придётся впредь открывать носители и запускать автозапускаемые диски самостоятельно.

Карантин выслал, реестр изменил.

avtorun.inf не появляется, ехе-шник тоже

Больше ничего вредоносного в логах не видно.
С нашей помощью Вы нашли и удалили вирус Net-Worm.Win32.Kolab.ecx.
Миссия выполнена [img]http://fc01.deviantart.com/fs12/i/2006/274/c/4/_cowboy__by_sereneworx.gif[/img]
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот [URL="http://virusinfo.info/showthread.php?t=3519"]тут.[/URL]
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
Установите все последние [URL="http://update.microsoft.com"]обновления системы Windows[/URL] и используемых программ. И вообще, постарайтесь выполнить все советы, [URL="http://virusinfo.info/showthread.php?t=30339"]указанные здесь[/URL] - это максимально отдалит время нашей следующей с Вами встречи :)

Ребята спасибо вам большое за помощь!! Еслиб не вы, я бы снёс систему и потерял кучу важной инфы

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]39[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\bslbt.exe - [B]Net-Worm.Win32.Kolab.ecx[/B] ( DrWEB: BackDoor.IRC.Bot.143, BitDefender: Backdoor.Bot.107309, AVAST4: Win32:Trojan-gen )[*] c:\новая папка.rar - [B]Worm.Win32.RussoTuristo.b[/B] ( DrWEB: archive: Win32.HLLW.Amorale, BitDefender: Win32.Worm.RussoTuristo.B, NOD32: Win32/RussoTuristo.B worm )[*] f:\recycler\s-51-9-25-3434476501-1644491933-601013339-1214\bslbt.exe - [B]Net-Worm.Win32.Kolab.ecx[/B] ( DrWEB: BackDoor.IRC.Bot.143, BitDefender: Backdoor.Bot.107309, AVAST4: Win32:Trojan-gen )[*] \u2e1l7h8y9y6.exe - [B]Trojan.Win32.Buzus.cdfs[/B] ( DrWEB: BackDoor.IRC.Bot.143, BitDefender: Backdoor.Bot.107309 )[/LIST][/LIST]