z-connect

Printable View

25.10.2009, 20:58
ninja-spb

z-connect

Подключение к сети Интернет постоянно прерывается, провайдер говорит что у меня вирус в разделе "Подключения" - новое соединение z-connect.
25.10.2009, 21:23
Белый Сокол

[U]Отключите восстановление системы![/U]

[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('{00A6FAF1-072E-44cf-8957-5838F569A31D}');
DelBHO('{07B18EA1-A523-4961-B6BB-170DE4475CCA}');
DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
DelBHO('{07B18EA9-A523-4961-B6BB-170DE4475CCA}');
DelBHO('{00A6FAF6-072E-44cf-8957-5838F569A31D}');
QuarantineFile('C:\Documents and Settings\iVan\Application Data\bpfeed.dll','');
QuarantineFile('C:\WINDOWS\system32\jwkmxob.dll','');
QuarantineFile('C:\WINDOWS\system\dllcache.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL','');
QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe','');
DeleteService('ysuttwctr');
DeleteService('yssswnwj');
DeleteService('yollcbr');
DeleteService('yanqqol');
DeleteService('xtjrkulru');
DeleteService('xqsqs');
DeleteService('xndbp');
DeleteService('xmsscyiec');
DeleteService('xisdjc');
DeleteService('wqnvxzs');
DeleteService('wpswpsf');
DeleteService('wppjevh');
DeleteService('wphju');
DeleteService('woxquhqsw');
DeleteService('wmwqs');
DeleteService('wjcmlfwyc');
DeleteService('vqzcs');
DeleteService('vqrhedlih');
DeleteService('vjxnvh');
DeleteService('usrvj');
DeleteService('umfcjsqu');
DeleteService('ugnyql');
DeleteService('triysn');
DeleteService('tfcffdpa');
DeleteService('tesjo');
DeleteService('szsjtq');
DeleteService('spkrosdpl');
DeleteService('rmasa');
DeleteService('rjczhi');
DeleteService('qphvs');
DeleteService('qepastee');
DeleteService('pzybq');
DeleteService('pvrkkt');
DeleteService('pnpgzs');
DeleteService('pbybhmyrp');
DeleteService('ozktsrbu');
DeleteService('ovijie');
DeleteService('oruwm');
DeleteService('ornwokua');
DeleteService('oitlhg');
DeleteService('nimazjypx');
DeleteService('nhjxlnwc');
DeleteService('mxhvl');
DeleteService('lmnptgzs');
DeleteService('mecau');
DeleteService('mqhccp');
DeleteService('kxmcpjidy');
DeleteService('kyknan');
DeleteService('kshevamkp');
DeleteService('kqpge');
DeleteService('klfppzjuz');
DeleteService('khcouo');
DeleteService('kdomp');
DeleteService('kdndtufq');
DeleteService('juxgeftgd');
DeleteService('jqpyozi');
DeleteService('jmlha');
DeleteService('jjgfm');
DeleteService('jbrqok');
DeleteService('isfvxpul');
DeleteService('inmcilpqr');
DeleteService('ikusyrk');
DeleteService('gzpsa');
DeleteService('gygsbeuwo');
DeleteService('gsrhjoz');
DeleteService('gcrgn');
DeleteService('fjgzra');
DeleteService('fgqwwas');
DeleteService('ezaog');
DeleteService('eixkpyf');
DeleteService('ehytcbnja');
DeleteService('dxoredlxm');
DeleteService('dsadzeol');
DeleteService('davtdwsyl');
DeleteService('dhfwmz');
DeleteService('cubdwufx');
DeleteService('csobmnor');
DeleteService('cqvnpjzv');
DeleteService('bcbabeyd');
DeleteService('auyyrzxd');
DeleteService('bfotxmf');
DeleteService('biccr');
DeleteService('bjfdw');
DeleteService('bmusz');
DeleteService('bqikpriks');
DeleteService('brtqoua');
DeleteService('brwabokr');
DeleteService('bypkew');
DeleteService('cbclzksgy');
DeleteService('ajwtbt');
DeleteService('aiijm');
DeleteService('ahlax');
DeleteService('ahfpfsbv');
QuarantineFile('C:\WINDOWS\system32\02.tmp','');
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
DeleteService('aerooremv');
DeleteService('WinSpooler32');
QuarantineFile('C:\WINDOWS\system\smsc32.exe','');
QuarantineFile('C:\WINDOWS\system\mysmas.exe','');
DeleteService('MYS Mutex Algorithm Service');
QuarantineFile('C:\WINDOWS\system32\ICDSPTSV.EXE','');
QuarantineFile('C:\WINDOWS\system32\fci.exe.exe:ext.exe','');
DeleteService('FCI');
QuarantineFile('C:\WINDOWS\system\svhost.exe','');
DeleteService('WindowsTelephony');
DeleteFile('C:\WINDOWS\system\svhost.exe');
DeleteFile('C:\WINDOWS\system32\fci.exe.exe:ext.exe');
DeleteFile('C:\WINDOWS\system\mysmas.exe');
DeleteFile('C:\WINDOWS\system\smsc32.exe');
DeleteFile('C:\WINDOWS\system32\01.tmp');
DeleteFile('C:\WINDOWS\system32\02.tmp');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','My Web Search Bar');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MyWebSearch Email Plugin');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MyWebSearch Email Plugin');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amva');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\jwkmxob.dll');
DeleteFile('C:\Documents and Settings\iVan\Application Data\bpfeed.dll');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\82H3KDBD\hom[1].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Q1OT49WX\hom[1].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Q1OT49WX\hom[2].exe');
DeleteFile('C:\Documents and Settings\iVan\Local Settings\Temporary Internet Files\Content.IE5\9O8F550T\hom[1].exe');
DeleteFile('C:\Documents and Settings\iVan\Local Settings\Temporary Internet Files\Content.IE5\NZP7710W\loader[1].exe');
DeleteFile('C:\Documents and Settings\Гость\Local Settings\Temp\BNCF.tmp');
DeleteFile('C:\Documents and Settings\Гость\Local Settings\Temp\BND0.tmp');
DeleteFileMask('C:\Documents and Settings\Гость\Local Settings\Temp\', '*.*', true);
DeleteFileMask('C:\Documents and Settings\iVan\Local Settings\Temporary Internet Files\Content.IE5\NZP7710W\', '*.*', true);
DeleteFileMask('C:\Documents and Settings\iVan\Local Settings\Temporary Internet Files\Content.IE5\9O8F550T\', '*.*', true);
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Q1OT49WX\', '*.*', true);
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\82H3KDBD\', '*.*', true);
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(8);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).

Сделайте лог GMER по правилам - [url]http://virusinfo.info/showthread.php?t=40118[/url]

Подготовьте новые логи AVZ + HjT.
25.10.2009, 21:56
ninja-spb

я закачал карантин файлы с помощью ссылки "Прислать запрошенные файлы"
и вот gmer.log
25.10.2009, 22:44
ninja-spb

логи

новые логи
25.10.2009, 23:32
thyrex

Сохраните текст ниже как cleanup.bat в ту же папку, где находится 8gczj5pb.exe (gmer)
[CODE]8gczj5pb.exe -del service blnrg
8gczj5pb.exe -del service lccpkk
8gczj5pb.exe -del service ntyds
8gczj5pb.exe -del file "C:\WINDOWS\system32\ixyjc.dll"
8gczj5pb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\blnrg"
8gczj5pb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\lccpkk"
8gczj5pb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ntyds"
8gczj5pb.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\blnrg"
8gczj5pb.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\lccpkk"
8gczj5pb.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ntyds"
8gczj5pb.exe -reboot[/CODE]И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer
25.10.2009, 23:47
ninja-spb

ГОВОРЯТ " DeleteService: параметр задан неверно "
" DeleteKey: параметр задан неверно "
подскажите как сохранить в блокноте, или в программе GMER??
я создал файл в блокноте!
25.10.2009, 23:49
Белый Сокол

[URL="http://virusinfo.info/showthread.php?t=40118"]Как выполнить команды в GMER[/URL]
После этого сделайте новый лог.
25.10.2009, 23:56
thyrex

[QUOTE='ninja-spb;493472']я создал файл в блокноте[/QUOTE]Можно было и так. gmer часто ругается на ошибки. Особого внимания не стоит обращать
26.10.2009, 00:19
ninja-spb

я следуя указаниям сохранил текст,как написано " «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте команды для удаления руткита, которые указал Вам специалист и нажмите Run "

и программа всё равно пишет " DeleteService: параметр задан неверно "
" DeleteKey: параметр задан неверно "
может я чтото не верно делаю??

также как и через блокнот
26.10.2009, 00:21
Белый Сокол

См. выше, иногда GMER так ведет себя. Давайте лучше новый лог.
26.10.2009, 00:30
ninja-spb

оке,щас будет
26.10.2009, 01:22
ninja-spb

gmer лог
26.10.2009, 13:16
Белый Сокол

[B]Выполните в AVZ:[/B]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('blnrg');
DeleteService('lccpkk');
DeleteService('ntyds');
DeleteFile('C:\WINDOWS\system32\ixyjc.dll');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\blnrg');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\ntyds');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\lccpkk');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet003\Services\blnrg');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet003\Services\ntyds');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet003\Services\lccpkk');
BC_ImportDeletedList;
ExecuteSysclean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
ПК перезагрузится.

Подготовьте новый лог гмер.
30.10.2009, 12:50
ninja-spb

новый лог
31.10.2009, 11:08
thyrex

На Scan явно не нажимали. Переделать
04.11.2009, 19:24
ninja-spb

новый лог
04.11.2009, 20:31
thyrex

Скачайте [url="http://www2.gmer.net/mbr/mbr.exe"]mbr[/url]
После запуска в папке с программой найдете mbr.log Его и выложите
24.11.2009, 17:28
ninja-spb

Вложений: 1

mbr.log

mbr.log
24.11.2009, 21:25
thyrex

Порядок
26.11.2009, 12:26
ninja-spb

Спасибо!
27.11.2009, 12:26
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\ivan\local settings\temporary internet files\content.ie5\nzp7710w\loader[1].exe - [B]Trojan-Downloader.Win32.Mutant.fhv[/B] ( DrWEB: Trojan.DownLoad.41506, BitDefender: Trojan.Downloader.Cutwail.L, AVAST4: Win32:Mutant-DD [Trj] )[*] c:\documents and settings\ivan\local settings\temporary internet files\content.ie5\9o8f550t\hom[1].exe - [B]Backdoor.Win32.SdBot.ouy[/B] ( DrWEB: Trojan.Siggen.4104, BitDefender: Trojan.Generic.2444432, NOD32: IRC/SdBot trojan, AVAST4: Win32:Injector-SE [Trj] )[*] c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\q1ot49wx\hom[1].exe - [B]Backdoor.Win32.SdBot.ouy[/B] ( DrWEB: Trojan.Siggen.4104, BitDefender: Trojan.Generic.2444432, NOD32: IRC/SdBot trojan, AVAST4: Win32:Injector-SE [Trj] )[*] c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\q1ot49wx\hom[2].exe - [B]Backdoor.Win32.SdBot.ouy[/B] ( DrWEB: Trojan.Siggen.4104, BitDefender: Trojan.Generic.2444432, NOD32: IRC/SdBot trojan, AVAST4: Win32:Injector-SE [Trj] )[*] c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\82h3kdbd\hom[1].exe - [B]Backdoor.Win32.SdBot.ouy[/B] ( DrWEB: Trojan.Siggen.4104, BitDefender: Trojan.Generic.2444432, NOD32: IRC/SdBot trojan, AVAST4: Win32:Injector-SE [Trj] )[*] c:\documents and settings\гость\local settings\temp\bncf.tmp - [B]Backdoor.Win32.SdBot.oma[/B] ( DrWEB: BackDoor.IRC.Sdbot.5190, BitDefender: Trojan.Generic.2298493, AVAST4: Win32:Inject-UW [Trj] )[*] c:\documents and settings\гость\local settings\temp\bnd0.tmp - [B]Backdoor.Win32.SdBot.oma[/B] ( DrWEB: BackDoor.IRC.Sdbot.5190, BitDefender: Trojan.Generic.2298493, AVAST4: Win32:Inject-UW [Trj] )[/LIST][/LIST]