Как обычно, рубит соединение, создает подключение.
Прицепляю логи Hijackthis и AVZ.
Как обычно, рубит соединение, создает подключение.
Прицепляю логи Hijackthis и AVZ.
На время выполнения скриптов, отключитесь от сети, отключите антивирус и восстановление системы.
Пофиксите с помощью Hijackthis строки:[code]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: agblibP - {065C52C3-9AA2-4577-AFB0-33F17EA5686E} - C:\Documents and Settings\All Users\Application Data\agblib.dll (file missing)
O4 - HKLM\..\Run: [KernelDrv.exe] C:\WINDOWS\System32\KernelDrv.exe
O21 - SSODL: WebCheck - {BF40CF31-AB5F-0A3F-4CB3-2F0B20FB4D59} - JVM32.DLL (file missing)[/code]
Программа AVZ - файл - выполнить скрипт - выполните скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Program Files\Tutor.exe','');
QuarantineFile('C:\WINDOWS\system32\JVM32.DLL','');
QuarantineFile('C:\A1\V1\try.exe','');
QuarantineFile('C:\Program Files\SGPSA\BHO.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\agblib.dll','');
QuarantineFile('C:\WINDOWS\system32\snti386.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\System32\KernelDrv.exe','');
QuarantineFile('C:\DOCUME~1\Anna\LOCALS~1\Temp\catchme.sys','');
QuarantineFile('C:\Program Files\Tiny Utilities\Vitrite\VitriDLL.dll','');
QuarantineFile('C:\Program Files\QuickTime\QTSystem\QTCF.dll','');
QuarantineFile('C:\Program Files\Common Files\Apple\Apple Application Support\objc.dll','');
QuarantineFile('C:\Program Files\Common Files\Apple\Apple Application Support\ASL.dll','');
QuarantineFile('c:\program files\lovivkontakte\vkontakteservice.exe','');
QuarantineFile('c:\program files\tiny utilities\vitrite\vitrite.exe','');
DelBHO('{065C52C3-9AA2-4577-AFB0-33F17EA5686E}');
DeleteFile('C:\DOCUME~1\Anna\LOCALS~1\Temp\catchme.sys');
BC_DeleteFile('C:\DOCUME~1\Anna\LOCALS~1\Temp\catchme.sys');
DeleteFile('C:\WINDOWS\System32\KernelDrv.exe');
BC_DeleteFile('C:\WINDOWS\System32\KernelDrv.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\agblib.dll');
BC_DeleteFile('C:\Documents and Settings\All Users\Application Data\agblib.dll');
DeleteFile('C:\WINDOWS\system32\JVM32.DLL');
BC_DeleteFile('C:\WINDOWS\system32\JVM32.DLL');
DeleteService('catchme');
BC_DeleteSvc('catchme');
BC_ImportQuarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] После перезагрузки, загрузите карантин по ссылке в шапке темы, как написано в прил. 3 правил, проверьте адреса DNS-серверов в настройках сетевого подключения и повторите логи.
Сначала накосячила с карантином, отправила нормально (сохранен как 091029_154102_virus_4ae98d5ef3cee.zip).
Адреса DNS выдаются автоманически при новом соединении.
Уже 24 минуты ничего подозрительного...
Логи:
+ не могу удалить backups в hijackthis. Они при перезапуске снова появляются.
[QUOTE=Pervert_dream;496150]+ не могу удалить backups в hijackthis. Они при перезапуске снова появляются.[/QUOTE] Непонятно, если честно. Что именно вы пытаетесь удалить, а оно не удаляется?
Программа AVZ - файл - выполнить скрипт - выполните скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\A1\V1\try.exe');
BC_DeleteFile('C:\A1\V1\try.exe');
DelClSID('67KLN5J0-4OPM-61WE-AAX2-5657QWE232788');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
После перезагрузки, повторите лог исследования системы.
Отфиксенные файлы.
Кстати, после окончательного излечения обратно включать восстановление системы?
Основная цель достигнута - соединение не прерывается. СПАСИБО.
Но, я чую, тут еще какая-то кака есть.
После скрипта еще два файла AVZ отправил в карантин.
Логи:
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\LoviVkontakte\lovivkontakte.exe','');
QuarantineFile('C:\Program Files\LoviVkontakte\VkontakteService.exe','');
DeleteService('LoviVkontakteService');
DeleteFile('C:\Program Files\LoviVkontakte\VkontakteService.exe');
DeleteFile('C:\Program Files\LoviVkontakte\lovivkontakte.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
[COLOR="Purple"]Кстати, я рано обрадовалась. Коннект опять прервался, и появилось подключение z-connect.[/COLOR]
Флешек не вставляли?
Если нет, тогда все дело в этом
[QUOTE]Platform: Windows XP [B]SP2[/B] (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 [B]SP2[/B] (6.00.2900.2180)[/QUOTE]
[B]thyrex[/B], я совершеннейший ламер. Я не понимаю.
Давайте еще раз логи проверим...
Флэшку, оказывается, в мое отсутствие вставили без форматирования...(
Отправила карантин.
Выполните скрипт в AVZ
[code]begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
DelCLSID('{67KLN5J0-4OPM-61WE-AAX2-5657QWE232788}');
DeleteFile('C:\A1\V1\try.exe');
DeleteFileMask('C:\A1', '*.*', true);
DeleteDirectory('C:\A1');
ExecuteSysClean;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте новые логи с подключенной флешкой
На флэшке тоже эта пакость...
А я ведь ее форматнула.
Логи:
[COLOR="Green"]Подключите диск [B]G:[/B][/COLOR]
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('G:\A1\V1\try.exe','');
QuarantineFile('G:\autorun.inf','');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\A1\V1\try.exe');
DeleteFileMask('G:\A1\V1\','*.*',true);
DeleteDirectory('G:\A1\V1\');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Файл [B]quarantine.zip[/B] из папки AVZ пришлите, используя ссылку "[B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B]"
Отправила карантин и quarantine.zip; логи на данный момент (вместе с флешкой):
Логи чистые
[B]Venus Doom[/B], здорово, спасибо!
Я еще завтра тогда проверю другие флешки на предмет этой дряни.
Если что, предоставленный Вами скрипт можно применить к другому съемному носителю с тем же зловредом?
[QUOTE='Pervert_dream;496359']Если что, предоставленный Вами скрипт можно применить к другому съемному носителю с тем же зловредом?[/QUOTE]
Нет. Этого делать нельзя. Каждый скрипт индивидуален, то есть он пишется и применяется к конкретной машине в общем, а не к сменному носителю. У вас отключили автозапуск, так что просто удалите неизвестные вам файлы на флэшке(включив показ скрытых файлов предварительно).
[B]миднайт[/B], поняла, будет сделано.
У меня еще 2 вопроса: включать ли обратно восстановление системы?
И в Hijackthis отфиксенные файлы переносятся в Backups; я их удаляю, но они снова появляются при перезапуске. Это нормально, или нужнол исправлять?
[QUOTE]включать ли обратно восстановление системы?[/QUOTE]Да
[QUOTE]И в Hijackthis отфиксенные файлы переносятся в Backups; я их удаляю, но они снова появляются при перезапуске. Это нормально, или нужнол исправлять? [/QUOTE]Удалите вместе с hijackthis.exe
[B]Venus Doom[/B], то есть, просто снести программу?.. (Простите, если глупые вопросы, просто я очень боюсь накосячить, т.к. я только пользователь)
Перед применением Вы распаковали hijackthis в отдельную папку... удалите эту папку
[B]Venus Doom[/B], вот я дурочка..) Все, удалила. Спасибо огромное!
Карантин в АВЗ тоже удалить? Или вместе с АВЗ?
[QUOTE=Pervert_dream;496380][B]Venus Doom[/B], вот я дурочка..) Все, удалила. Спасибо огромное!
Карантин в АВЗ тоже удалить? Или вместе с АВЗ?[/QUOTE]Можете удалить
ШикарнО.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]201[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\a1\v1\try.exe - [B]Trojan.Win32.Pincav.iua[/B] ( DrWEB: Win32.HLLW.Autoruner.6554, NOD32: Win32/AutoRun.KS worm )[*] g:\a1\v1\try.exe - [B]Trojan.Win32.Pincav.iua[/B] ( DrWEB: Win32.HLLW.Autoruner.6554, NOD32: Win32/AutoRun.KS worm )[/LIST][/LIST]