Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Вирус z-connect (заявка № 48531)

  1. #1
    Junior Member Репутация
    Регистрация
    05.04.2009
    Сообщений
    54
    Вес репутации
    32

    Thumbs up Вирус z-connect

    Здравствуйте. Вот появился вирус не могу удалить размножаться по диску С ( создаёт файл с названием l который нужно постоянно удалять чтоб не создалось подключение z-connect ) . Помогите пожалуйста:
    Последний раз редактировалось lordenas; 25.10.2009 в 11:18.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1290
    Закройте все программы.
    Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     DeleteService('MRSVSS Service');
     QuarantineFile('c:\windows\winsvc32.exe','');
     QuarantineFile('c:\windows\system\mrsvss.exe','');
     DeleteFile('c:\windows\system\mrsvss.exe');
     DeleteFile('C:\DOCUME~1\Lord^\LOCALS~1\Temp\Rar$DI00.828\TUNNEL~1.SCR');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

    Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

  4. #3
    Junior Member Репутация
    Регистрация
    05.04.2009
    Сообщений
    54
    Вес репутации
    32
    Вроде z-connect пропал но файлы с названием l еще создаются проверьте пожалуйста
    Последний раз редактировалось lordenas; 25.10.2009 в 11:18.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1290
    Password Door вы сами установили?

    Закройте все программы. Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
    ClearQuarantine;
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\S56IHHW6\i[1].exe');
     DeleteFile('C:\WINDOWS\system32\04.scr');
     DeleteFile('C:\WINDOWS\system32\13.scr');
     DeleteFile('C:\WINDOWS\system32\72.scr');
     DeleteFile('C:\WINDOWS\system32\75.scr');
     DeleteFile('C:\WINDOWS\winsvc32.exe');
     DeleteFile('C:\WINDOWS\system\mrsvss.exe');
     DeleteFile('c:\windows\system\mrsvss.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Обновите базы AVZ.
    Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

    Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519

  6. #5
    Junior Member Репутация
    Регистрация
    05.04.2009
    Сообщений
    54
    Вес репутации
    32
    Извините что долго не отвечал свет выключили... А что такое pasword Door это что теперь все мои пароли знают??
    Последний раз редактировалось lordenas; 25.10.2009 в 11:18.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1290
    Проглядел один файлик и он всю компанию обратно притянул.
    Закройте все программы. Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteService('MRSVSS Service');
     DeleteFile('c:\windows\system\mrsvss.exe');
     DeleteFile('c:\windows\tstray.exe');
     DeleteFile('C:\WINDOWS\system\mrsvss.exe');
     DeleteFile('C:\WINDOWS\tstray.exe');
     DeleteFile('winsvc32.exe');
     DeleteFile('C:\WINDOWS\system32\86.scr');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\6DZIGHCP\i[1].exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

    Password Door: http://www.cwer.ru/password_door_v8_4_2_rus

  8. #7
    Junior Member Репутация
    Регистрация
    05.04.2009
    Сообщений
    54
    Вес репутации
    32
    как я уже говорил на диске С создаётся какой то то файл "l"
    Последний раз редактировалось lordenas; 25.10.2009 в 11:18.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1290
    В логах чисто.

  10. #9
    Junior Member Репутация
    Регистрация
    05.04.2009
    Сообщений
    54
    Вес репутации
    32
    А что делать с тем файлом который удаляешь а он сам восстанавливаться? это вирус? может его выслать вам)))

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1290
    Высылайте.

  12. #11
    Junior Member Репутация
    Регистрация
    05.04.2009
    Сообщений
    54
    Вес репутации
    32
    Вот Отписался в теме которой вы говорили "Для всех желающих нам помочь" Вот результат проверки:
    Кстати не могу включить опцию "Отображать скрытые файлы и папки"


    Архив 090623_161015_virusinfo_files_LORD-F819C03117_4a40c6270f03d.zip, загружен 23.06.2009 16:40:15, размер 1869759 байт
    Всего файлов: 13 (исполняемых 13), из них:
    зловреды или опасные объекты: 2
    подозрительные: 0
    занесены в базу безопасных AVZ: 1
    В очереди на добавление в базу безопасных:
    высокий приоритет: 5
    обычный приоритет: 5
    Внимание, в архиве обнаружены опасные или вредоносные объекты:
    c:\l.exe: Net-Worm.Win32.Kolab.cue
    c:\windows\system\mrsvss.exe: Net-Worm.Win32.Kolab.cue

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1290
    Поставьте надежный пароль на учетные записи с правами Администратора.
    Установите обновления безопасности на Windows.
    Начать лучше с Service Pack 3 на Windows (может потребоваться активация).

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,231
    Вес репутации
    3015
    + для восстановления отображения скрытых файлов

    Выполните скрипт в AVZ
    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(8);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    05.04.2009
    Сообщений
    54
    Вес репутации
    32
    thyrex скрипт не помог . А есть другие способы кроме обновления системы... 100% потребует активации... Как только перехожу на обновления баз mozila выдаёт ошибку... И при запуске компьютера стало появляться окошко RegSvr32

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Давайте логи по новой.

  17. #16
    Junior Member Репутация
    Регистрация
    05.04.2009
    Сообщений
    54
    Вес репутации
    32
    thyrex извиняюсь всё таки скрипт помог)) И опять появился z-connect я создал нормальное подключение с таким же названием))) В моём компьютере появился раздел Мои Веб папки) Вот логи и вирус.
    Последний раз редактировалось lordenas; 25.10.2009 в 11:18.

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,231
    Вес репутации
    3015
    Уберите зараженный файл из вложений

    Пофиксить в HiJack
    Код:
     R3 - URLSearchHook: (no name) -  - (no file)
    O4 - HKLM\..\Run: [Windows Virtual Manager] vmnat.exe
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\tstray.exe','');
     QuarantineFile('C:\WINDOWS\system32\77.scr','');
     QuarantineFile('C:\WINDOWS\system32\21.scr','');
     QuarantineFile('C:\WINDOWS\system32\16.scr','');
     QuarantineFile('C:\WINDOWS\system32\13.scr','');
     QuarantineFile('C:\WINDOWS\system32\12.scr','');
     QuarantineFile('C:\WINDOWS\system32\08.scr','');
     QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\S56IHHW6\i[1].exe','');
     DeleteService('MRSVSS Service');
     QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
     QuarantineFile('c:\windows\vmnat.exe','');
     TerminateProcessByName('c:\windows\system\mrsvss.exe');
     QuarantineFile('c:\windows\system\mrsvss.exe','');
     DeleteFile('c:\windows\system\mrsvss.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\S56IHHW6\i[1].exe');
     DeleteFile('C:\WINDOWS\system32\08.scr');
     DeleteFile('C:\WINDOWS\system32\12.scr');
     DeleteFile('C:\WINDOWS\system32\13.scr');
     DeleteFile('C:\WINDOWS\system32\16.scr');
     DeleteFile('C:\WINDOWS\system32\21.scr');
     DeleteFile('C:\WINDOWS\system32\77.scr');
     DeleteFile('C:\WINDOWS\tstray.exe');
    DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); 
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1290
    Цитата Сообщение от lordenas
    А есть другие способы кроме обновления системы... 100% потребует активации...
    Есть, установите антивирус, который детектирует вашего "друга":
    http://www.virustotal.com/ru/analisi...ba9-1245804398

  20. #19
    Junior Member Репутация
    Регистрация
    05.04.2009
    Сообщений
    54
    Вес репутации
    32
    Файл l перестал создаваться. Кстати входе проверки выполнения скрипта avz заметил в строке C:\WINDOWS\system32\TLPD.DLL --> Подозрение на Keylogger или троянскую DLL..... Что делать с этим) или это не вирус)
    Последний раз редактировалось lordenas; 25.10.2009 в 11:18.

  21. #20
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,231
    Вес репутации
    3015
    Ответ по вчерашнему карантину (неполный)
    04.scr_, 13.scr_, i[1].exe_, tstray.exe_ - Net-Worm.Win32.Kolab.cvf
    Детектирование файлов будет добавлено в следующее обновление.

    TLPD.DLL
    Вредоносный код в файлах не обнаружен.
    Пофиксить в HiJack
    Код:
    O4 - HKCU\..\Run: [swg] C:\WINDOWS\system32\regsvr32.exe
    Подождем ответ про этот файл - c:\windows\vmnat.exe
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) lordenas, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите, вирус x-connect и z-connect
      От Ксюшенция в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.11.2009, 21:12
    2. Ответов: 25
      Последнее сообщение: 30.10.2009, 22:23
    3. вирус z-connect
      От Аниса в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.08.2009, 11:47
    4. вирус z-connect
      От odess в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 25.08.2009, 23:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00790 seconds with 16 queries