Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Вирус a-connect (сегодня уже z-connect), пожалуйста, помогите. (заявка № 58641)

  1. #1
    Junior Member Репутация
    Регистрация
    29.10.2009
    Сообщений
    14
    Вес репутации
    53

    Thumbs up Вирус a-connect (сегодня уже z-connect), пожалуйста, помогите.

    Как обычно, рубит соединение, создает подключение.
    Прицепляю логи Hijackthis и AVZ.
    Последний раз редактировалось Pervert_dream; 29.10.2009 в 10:29.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    На время выполнения скриптов, отключитесь от сети, отключите антивирус и восстановление системы.
    Пофиксите с помощью Hijackthis строки:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
    O2 - BHO: agblibP - {065C52C3-9AA2-4577-AFB0-33F17EA5686E} - C:\Documents and Settings\All Users\Application Data\agblib.dll (file missing)
    O4 - HKLM\..\Run: [KernelDrv.exe] C:\WINDOWS\System32\KernelDrv.exe
    O21 - SSODL: WebCheck - {BF40CF31-AB5F-0A3F-4CB3-2F0B20FB4D59} - JVM32.DLL (file missing)
    Программа AVZ - файл - выполнить скрипт - выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\Program Files\Tutor.exe','');
     QuarantineFile('C:\WINDOWS\system32\JVM32.DLL','');
     QuarantineFile('C:\A1\V1\try.exe','');
     QuarantineFile('C:\Program Files\SGPSA\BHO.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\agblib.dll','');
     QuarantineFile('C:\WINDOWS\system32\snti386.dll','');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\System32\KernelDrv.exe','');
     QuarantineFile('C:\DOCUME~1\Anna\LOCALS~1\Temp\catchme.sys','');
     QuarantineFile('C:\Program Files\Tiny Utilities\Vitrite\VitriDLL.dll','');
     QuarantineFile('C:\Program Files\QuickTime\QTSystem\QTCF.dll','');
     QuarantineFile('C:\Program Files\Common Files\Apple\Apple Application Support\objc.dll','');
     QuarantineFile('C:\Program Files\Common Files\Apple\Apple Application Support\ASL.dll','');
     QuarantineFile('c:\program files\lovivkontakte\vkontakteservice.exe','');
     QuarantineFile('c:\program files\tiny utilities\vitrite\vitrite.exe','');
     DelBHO('{065C52C3-9AA2-4577-AFB0-33F17EA5686E}');
     DeleteFile('C:\DOCUME~1\Anna\LOCALS~1\Temp\catchme.sys');
     BC_DeleteFile('C:\DOCUME~1\Anna\LOCALS~1\Temp\catchme.sys');
     DeleteFile('C:\WINDOWS\System32\KernelDrv.exe');
     BC_DeleteFile('C:\WINDOWS\System32\KernelDrv.exe');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     BC_DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\agblib.dll');
     BC_DeleteFile('C:\Documents and Settings\All Users\Application Data\agblib.dll');
     DeleteFile('C:\WINDOWS\system32\JVM32.DLL');
     BC_DeleteFile('C:\WINDOWS\system32\JVM32.DLL');
     DeleteService('catchme');
     BC_DeleteSvc('catchme');
    BC_ImportQuarantineList;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки, загрузите карантин по ссылке в шапке темы, как написано в прил. 3 правил, проверьте адреса DNS-серверов в настройках сетевого подключения и повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    29.10.2009
    Сообщений
    14
    Вес репутации
    53
    Сначала накосячила с карантином, отправила нормально (сохранен как 091029_154102_virus_4ae98d5ef3cee.zip).
    Адреса DNS выдаются автоманически при новом соединении.
    Уже 24 минуты ничего подозрительного...
    Логи:
    Последний раз редактировалось Pervert_dream; 29.10.2009 в 16:02.

  5. #4
    Junior Member Репутация
    Регистрация
    29.10.2009
    Сообщений
    14
    Вес репутации
    53
    + не могу удалить backups в hijackthis. Они при перезапуске снова появляются.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Цитата Сообщение от Pervert_dream Посмотреть сообщение
    + не могу удалить backups в hijackthis. Они при перезапуске снова появляются.
    Непонятно, если честно. Что именно вы пытаетесь удалить, а оно не удаляется?
    Программа AVZ - файл - выполнить скрипт - выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\A1\V1\try.exe');
     BC_DeleteFile('C:\A1\V1\try.exe');
     DelClSID('67KLN5J0-4OPM-61WE-AAX2-5657QWE232788');
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки, повторите лог исследования системы.

  7. #6
    Junior Member Репутация
    Регистрация
    29.10.2009
    Сообщений
    14
    Вес репутации
    53
    Отфиксенные файлы.
    Кстати, после окончательного излечения обратно включать восстановление системы?

  8. #7
    Junior Member Репутация
    Регистрация
    29.10.2009
    Сообщений
    14
    Вес репутации
    53
    Основная цель достигнута - соединение не прерывается. СПАСИБО.
    Но, я чую, тут еще какая-то кака есть.
    После скрипта еще два файла AVZ отправил в карантин.

    Логи:

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\LoviVkontakte\lovivkontakte.exe','');
     QuarantineFile('C:\Program Files\LoviVkontakte\VkontakteService.exe','');
     DeleteService('LoviVkontakteService');
     DeleteFile('C:\Program Files\LoviVkontakte\VkontakteService.exe');
     DeleteFile('C:\Program Files\LoviVkontakte\lovivkontakte.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  10. #9
    Junior Member Репутация
    Регистрация
    29.10.2009
    Сообщений
    14
    Вес репутации
    53
    Кстати, я рано обрадовалась. Коннект опять прервался, и появилось подключение z-connect.

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Флешек не вставляли?

    Если нет, тогда все дело в этом
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    29.10.2009
    Сообщений
    14
    Вес репутации
    53
    thyrex, я совершеннейший ламер. Я не понимаю.

    Давайте еще раз логи проверим...
    Флэшку, оказывается, в мое отсутствие вставили без форматирования...(

    Отправила карантин.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Выполните скрипт в AVZ
    Код:
    begin
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    DelCLSID('{67KLN5J0-4OPM-61WE-AAX2-5657QWE232788}');
     DeleteFile('C:\A1\V1\try.exe');
    DeleteFileMask('C:\A1', '*.*', true);
    DeleteDirectory('C:\A1');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи с подключенной флешкой
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    29.10.2009
    Сообщений
    14
    Вес репутации
    53
    На флэшке тоже эта пакость...
    А я ведь ее форматнула.

    Логи:

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Подключите диск G:

    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('G:\A1\V1\try.exe','');
     QuarantineFile('G:\autorun.inf','');
     DeleteFile('G:\autorun.inf');
     DeleteFile('G:\A1\V1\try.exe');
     DeleteFileMask('G:\A1\V1\','*.*',true);
     DeleteDirectory('G:\A1\V1\');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Файл quarantine.zip из папки AVZ пришлите, используя ссылку "прислать запрошенный карантин"

  16. #15
    Junior Member Репутация
    Регистрация
    29.10.2009
    Сообщений
    14
    Вес репутации
    53
    Отправила карантин и quarantine.zip; логи на данный момент (вместе с флешкой):

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Логи чистые

  18. #17
    Junior Member Репутация
    Регистрация
    29.10.2009
    Сообщений
    14
    Вес репутации
    53
    Venus Doom, здорово, спасибо!
    Я еще завтра тогда проверю другие флешки на предмет этой дряни.
    Если что, предоставленный Вами скрипт можно применить к другому съемному носителю с тем же зловредом?

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Цитата Сообщение от Pervert_dream Посмотреть сообщение
    Если что, предоставленный Вами скрипт можно применить к другому съемному носителю с тем же зловредом?
    Нет. Этого делать нельзя. Каждый скрипт индивидуален, то есть он пишется и применяется к конкретной машине в общем, а не к сменному носителю. У вас отключили автозапуск, так что просто удалите неизвестные вам файлы на флэшке(включив показ скрытых файлов предварительно).

  20. #19
    Junior Member Репутация
    Регистрация
    29.10.2009
    Сообщений
    14
    Вес репутации
    53
    миднайт, поняла, будет сделано.
    У меня еще 2 вопроса: включать ли обратно восстановление системы?
    И в Hijackthis отфиксенные файлы переносятся в Backups; я их удаляю, но они снова появляются при перезапуске. Это нормально, или нужнол исправлять?

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    включать ли обратно восстановление системы?
    Да
    И в Hijackthis отфиксенные файлы переносятся в Backups; я их удаляю, но они снова появляются при перезапуске. Это нормально, или нужнол исправлять?
    Удалите вместе с hijackthis.exe

  • Уважаемый(ая) Pervert_dream, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 41
      Последнее сообщение: 07.01.2010, 13:44
    2. Ответов: 1
      Последнее сообщение: 03.01.2010, 22:41
    3. Вирус a-connect - не могу победить. Помогите, пожалуйста.
      От Иван Савельев в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.12.2009, 00:10
    4. Помогите, вирус x-connect и z-connect
      От Ксюшенция в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.11.2009, 21:12
    5. Ответов: 5
      Последнее сообщение: 06.07.2009, 21:13

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00348 seconds with 17 queries