Здравствуйте!
Появился z-connect, ничем не смог убить.
Заменил имя моего основного соединение на z-connect, дало возможность войти в инет. сделал все шаги указанные Вами.
Спасибо. Жду ответа!
Здравствуйте!
Появился z-connect, ничем не смог убить.
Заменил имя моего основного соединение на z-connect, дало возможность войти в инет. сделал все шаги указанные Вами.
Спасибо. Жду ответа!
Скачайте новую версию AVZ по ссылке в правилах.
Обновите базы AVZ (файл - обновление баз).
Логи переделать.
Логи переделал.
такой лог http://www.gmer.net/ сделайте ...
Создал лог...
Up...
В логах ничего подозрительного не вижу. Может быть во время сканирования утилитами удалилось.
У вас какой антивирус стоит? NOD или McAffee?
Давайте сделаем так:
сделайте станд скрипт №2 в момент, когда z-connect активен.
Добавлено через 22 минуты
Выполнить скрипт:
Прислать карантин по Правилам.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\ati2evxx.exe',''); BC_Importall; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось PavelA; 09.09.2009 в 13:46. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Скрипт выполнил, в карантин закачал
Файл сохранён как090909_163204_virusinfo_cure_4aa7a044058f1.zipР азмер файла354755
MD5e67a03898956e1f1314a59179f68a8bb
Логи прикрепил
профиксить вот этот ключик:
Файл может называться по-другому.Код:O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\notepad.exe
кто его переименовывает и откуда ноги растут пока не ясно.
Сделайте лог МВАМ, но ничего лечить им не надо.
Добавлено через 34 минуты
Выполните:
Пришлите карантин.Код:begin QuarantineFile('c:\windows\system32\taskswitch.exe',''); end.
Последний раз редактировалось PavelA; 09.09.2009 в 17:18. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Пофиксил.
лог МВАМ сделал...
Заархивировал папку из карантина с паролем virus. Как я понимаю что файл taskswitch.exe поместился в папку quarantin.
Последний раз редактировалось V_Bond; 09.09.2009 в 20:41. Причина: карантин в теме
Выслал карантин после создания логов
Файл сохранён как090909_192729_virusinfo_cure_4aa7c9613e2d9.zipР азмер файла415199MD5c95619da1e88ca617543381d79d48380
C:\WINDOWS\system32\drivers\notepad.exe - прищлите согласно приложения 2 правил
Он не найдется. Эта зараза каждый раз переименовывает файл.
есть такое предложение.
профиксить тот ключ что я указал.
Скачать Regmon и настроить его на контроль данного ключа.
Очень важно узнать какой файл туда пишет.
C:\WINDOWS\system32\TaskKillS.exe - вот этого прислать через карантин AVZ
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Файл отправил
Файл сохранён как 090909_222123_virus_4aa7f2237589e.zip
Размер файла 78109
MD5 39186c060cb6e241ff7ef3c0be39a0fa
Добавлено через 19 минут
Скачать Regmon и настроить его на контроль данного ключа.
а как это сделать???
а на карантин сейчас пришлю...
Файл отправлен
Файл сохранён как 090909_224402_virus_4aa7f7721b517.zip
Размер файла 138341
MD5 fb9238e748539a54bda9a69e54cb1141
Последний раз редактировалось Sky_Angel; 09.09.2009 в 22:45. Причина: Добавлено
C:\WINDOWS\system32\drivers\notepad.exe -Worm.Win32.AInfBot.o
выполните скрипт
повторите логиКод:begin SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\drivers\notepad.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделал начальника
Выполнить:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\TaskKillS.exe '); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Сделал.
taskswitch.exe - чистый.
Добавлено через 58 секунд
Выполнить:
если попадет в карантин, то прислать.Код:begin ClearQuarantine; QuarantineFile('C:\DOCUME~1\2377~1\LOCALS~1\Temp\mc21.tmp',''); end.
Последний раз редактировалось PavelA; 10.09.2009 в 17:43. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) Sky_Angel, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.