Проблемы с еще одним компьютером

[Evgenium]

В общем тоже может быть дозвонка, z-connect и прочие звери, высылаю первые логи. Жду помощи и спасибо за помощь по предыдущей проблеме.

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 QuarantineFile('c:\RECYCLER\S-51-9-25-3434476501-1644491961-601003314-1214\mprsvn.exe','');
 DeleteService('DllSrv Service Controler');
 QuarantineFile('c:\windows.0\system32\drivers\dllsrv.exe','');
 TerminateProcessByName('c:\windows.0\system32\drivers\dllsrv.exe');
 DeleteFile('c:\windows.0\system32\drivers\dllsrv.exe');
 DeleteFile('c:\RECYCLER\S-51-9-25-3434476501-1644491961-601003314-1214\mprsvn.exe');
 DeleteFile('F:\autorun.inf');
 DeleteFile('F:\RECYCLER\S-51-9-25-3434476501-1644491961-601003313-1214\mgrsvn.exe');
 DeleteFile('F:\RECYCLER\S-3-6-22-3434476501-1644491937-600003330-1213\DllSrv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=56330

3. Повторите логи.

[Evgenium]

вот логи, если карантин не загрузился - попросите еще раз.

[Aleksandra]

Ничего зловредного в логах нет. Соединение z-connect удалите. Что с проблемами?

[Evgenium]

вот скриншот при просмотре диска С: из Puppy Linux Live CD. также при работе в windows флешка оказалась заражена автораном

[Evgenium]

кстати пока загружен linux можно внаглую удалить z-connect?

[Aleksandra]

вот скриншот при просмотре диска С: из Puppy Linux Live CD.

На скриншоте не видно авторанов. Только мусор в виде двух exe-файлов. Их можете удалить из под любой ОС.

также при работе в windows флешка оказалась заражена автораном

Если при выполнении скрипта она не была подключена, то неудивительно.

Добавлено через 1 минуту

кстати пока загружен linux можно внаглую удалить z-connect?

Лучше повторите логи подключив все съемные носители.

[Evgenium]

Exe' шники удается удалить только из под линуха - винда не дает их удалить. сейчас попробую, а флешка была вставлена при работе скрипта и при последующей перезагрузке - либо ничего не удалилось, либо после удаления она опять заразилась.
сейчас подчищу все вручную и пришлю логи.

[Evgenium]

Вот логи, пред проверками из-под линуха подчистил корневые папки всех дисков, теперь вроде все чисто.

[Aleksandra]

Ничего зловредного не увидела.

[Evgenium]

ну тогда будем считать что машинка излечена, спасибо за помощь.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\recycler\s-51-9-25-3434476501-1644491961-601003314-1214\mprsvn.exe - Worm.Win32.AutoRun.axgm ( DrWEB: BackDoor.IRC.Flood.8 )
  2. f:\autorun.inf - Worm.Win32.AutoRun.gvf ( BitDefender: Trojan.AutorunINF.Gen, NOD32: INF/Autorun virus, AVAST4: BV:AutoRun-G [Wrm] )
  3. f:\recycler\s-3-6-22-3434476501-1644491937-600003330-1213\dllsrv.exe - Backdoor.Win32.SdBot.kyj ( DrWEB: BackDoor.IRC.Sdbot.4724, BitDefender: Backdoor.Bot.89222, AVAST4: Win32:Trojan-gen )
  4. f:\recycler\s-51-9-25-3434476501-1644491961-601003313-1214\mgrsvn.exe - Trojan.Win32.Vaklik.fyj ( DrWEB: BackDoor.Poison.1021, BitDefender: Trojan.Generic.2413824, NOD32: Win32/AutoRun.IRCBot.CT worm, AVAST4: Win32:Trojan-gen )