PDA

Показать полную графическую версию : сново z-connect


daron300
27-06-2009, 19:07
помогите с этим вирусом. Как и у всех отрубает интернет. Лазил по форумам копировал в авз скрипты которые писались людям с аналогичной проблемой и соблюдал те же инструкции, но безрезультатно. Подумал что это решается индивидуально. Прилагаю свои логи. заранее благодарен

Drongo
27-06-2009, 22:48
daron300, здравствуйте. :) Правильно, каждый случай индивидуален. :yes: Перед лечение нужно следовать рекомендациям.

Отключитесь от Интернета и локальной сети если такая есть.

Очистите временные файлы.

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1)
- скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=1&act=down), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли.


Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.

Создание новой точки восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
Очистка всех предыдущих точек восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Очистка диска, выберите системный диск, на вкладке Дополнительно => Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

Как это сделать, можно подробно прочитать здесь (http://virusnet.info/forum/showthread.php?t=2065).


Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\C\Settings\cl.exe','');
QuarantineFile('C:\MEMORY\S-v-6-2009\PeAcE.exe','');
QuarantineFile('C:\NEXT\FILES\NEXT.exe','');
DeleteFile('C:\NEXT\FILES\NEXT.exe');
DeleteFile('C:\MEMORY\S-v-6-2009\PeAcE.exe');
DeleteFile('C:\C\Settings\cl.exe');
DelCLSID('67KLN5J0-4OPM-33WE-AAX5-24KC2A3453431');
DelCLSID('67XOR2B0-3GMC-89VV-JIJ1-24KL2R3251431');
DelCLSID('67XOR2B0-3GMC-89VV-JIJ1-32KL2R3233771');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.

После всех процедур выполните скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com (mailto:newvirus@kaspersky.com). Результаты ответа, сообщите здесь, в теме.

HiJackThis
Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O1 - Hosts: 195.234.108.253 cmeptb


Не игнорируйте рекомендации!
Рекомендации:
1. В данном логе есть службы и настройки которые могут быть использованы в качестве потенциальной опасности:

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Что из перечисленного в списке не нужно вам?

Обновите Windows XP SP2 до WindowsXP SP3 (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4), а также все последние обновления с http://windowsupdate.microsoft.com/
2. Рекомендую проверять систему регулярно, утилитой CureIT (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe)
3. Регулярно обновляйте базы для вашего антивируса.
4. Не работайте с правами Администратора на компьютере.

Vadikan
27-06-2009, 23:19
Drongo, в букмарклете сбились списки, видимо (всстановление системы). И это Что из этого ничего не нужно вам? »странно звучит :)

thyrex
28-06-2009, 11:05
daron300, у Вас еще и Кидо
После выполнения предыдущих рекомендаций сделайте следующее

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.




© OSzone.net 2001-2012