Junior Member
Вес репутации
55
z-connect
В компьютере завелась какая-то гадость которая отрубает впн соединение, создавая при этом свое с именем z-connect, пока принял временное решение: создал подключение с именем z-connect, вирус не может создать подключение с другим именем, так что он блокируется. Прошу помочь вывести паразита из компа, т.к. все форматировать ооочень не хочется. заранее спс
зы: avz сгенерировал только virusinfo_syscure.zip
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в HijackThis:
Код:
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://dt-updates.com/activate?query=mTrkZh5BSkq7BzPI2uq%2fJKvI2fQFMwbQ8dMoMxn6yp%2bN9qe7%2bP2cSQR6KD5MJzmg%2f6n5Rb5ZnnWSMsqbChON%2fcEscGnLp7v3OsrWXDjrNhGrMPdR6zuwDPwsvdVBMWl6f3HDMNywie6ezeksw%2faEkW6UX%2bNKpSPVeAPOzxLahko%2fyh8Kr2Oo%2f21Dr38f%2fCI6AF1KCI936L9lgWooOxw0rKGWtfVd%2fjfFp0NnUPIR7qdftxbTYivKMmJkNiKaaUx5DQAFUInbaf5MHWQc4oum9RBR3rbKJl3YHXm%2fxIvecVw%3d
F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\DegCs.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\SSVICHOSST.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3514089236-1200350083-132840613-3551\isl.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\DegCs.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\DegCs.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3514089236-1200350083-132840613-3551\isl.exe');
DeleteFile('C:\WINDOWS\system32\SSVICHOSST.exe');
DeleteFile('C:\WINDOWS\Tasks\At1.job');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=47011 ).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
Junior Member
Вес репутации
55
Вложения
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\SYSTEM\FOLDER\AmdSys.exe','');
DeleteFile('C:\SYSTEM\FOLDER\AmdSys.exe');
BC_DeleteFile('C:\SYSTEM\FOLDER\AmdSys.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузиться!!!
Пришлите еще раз карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы
Повторите логи по правилам.
Вам это знакомо?
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{13655E47-F64F-47AE-95CB-E87B392BA3D0}: NameServer = 10.35.3.1,10.35.10.10
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C08ADA5-EF64-4059-8D7A-451E0BA18A96}: NameServer = 172.31.31.1 195.5.51.178
O17 - HKLM\System\CS1\Services\Tcpip\..\{13655E47-F64F-47AE-95CB-E87B392BA3D0}: NameServer = 10.35.3.1,10.35.10.10
O17 - HKLM\System\CS2\Services\Tcpip\..\{13655E47-F64F-47AE-95CB-E87B392BA3D0}: NameServer = 10.35.3.1,10.35.10.10
Junior Member
Вес репутации
55
Да, знакомо, это DNS-адреса, мой айпи и основной шлюз, не знаю только что такое 195.5.51.178
Вложения
Junior Member
Вес репутации
55
В логах чисто. Какие-то проблемы остались?
Рекомендуется установить SP3 и последующие обновления.
I am not young enough to know everything...
Junior Member
Вес репутации
55
на диске С есть файл u8g6d1y5e5g7.exe который после удаления восстанавливается, проблема осталась
Можно ли отформатировать один системный диск? т.е при этом вирус удалится?
Последний раз редактировалось abc_ua; 05.06.2009 в 08:49 .
Сообщение от
abc_ua
Можно ли отформатировать один системный диск? т.е при этом вирус удалится?
Если это был/есть руткит/бэкдор - да, если файловая инфекция - то она может и с другого диска в гости зайти.
Выполните скрипт
Код:
begin
SetAVZPMStatus(True);
ExecuteRepair(13);
RebootWindows(true);
end.
- Очистите темп-папки, кэш проводников и корзину.
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
Junior Member
Вес репутации
55
Вложения
Опять все то же самое!
Подключите съемные носители, какие используете, и оставьте подключенными.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\DegCs.exe');
DeleteFile('c:\SYSTEM\FOLDER\AmdSys.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('DegCs Controler');
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
Компьютер перезагрузится.
Обновите базы AVZ и сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
55
Спасибо за помощь, форматнул сис диск все стало норм работать
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 3 В ходе лечения обнаружены вредоносные программы:
c:\windows\system32\drivers\degcs.exe - Backdoor.Win32.SdBot.mpv ( DrWEB: BackDoor.IRC.Sdbot.4876, BitDefender: Gen:Trojan.Packed.Heur.F3A393ADAD )