Здравствуйте!

Появилось новое подключение z-connect, выбивает инет, после процедур необходимых для создания этой темы, перестало пускать на сайты: virusnet.info, касперского и т.п., появляются незнакомые процессы, в чарли стало отображаться много лишних запросов, сегодня под утро вообще не мог зайти ни на одну страничку с любого браузера, проверял на вирусы чем мог, естественно нашло с десятка 2, но как не старался всё очистить, всё возвращается вновь, не удивлюсь если еще куча всего на компе вредного. Прошу помочь мне с решением этих проблем.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\drivers\defmgr.exe');
QuarantineFile('G:\RECYCLER\S-51-9-25-3434476501-1644491927-601013333-1214\defmgr.exe','');
QuarantineFile('c:\windows\system32\drivers\defmgr.exe','');
DeleteFile('c:\windows\system32\drivers\defmgr.exe');
DeleteFile('G:\RECYCLER\S-51-9-25-3434476501-1644491927-601013333-1214\defmgr.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('C:\t9d2a1l6q2e1.exe');
DeleteService('qkqaska');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

Повторите логи.

А когда в правилах RSIT появился?

Скачайте Gmer (http://www.gmer.net/gmer.zip) или с зеркала (http://virusnet.info/soft/gmer.zip). Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

Спасибо, щас сделаю, но из за z-connect не успел отредактировать моё сообщение, lдумаю это тоже важно знать, так вот...переустановка винды не помагает, часто выдает ошибку svchost.exe, постоянно нахожу вирусы в:
- С:\windows\system32\x (Win32:Confi [Wrm]);
- С:\windows\system32\qsuszum.dll (win32hllw.shadow.based);
- c:\system volume information\ ...;
- c:\t9d2a1|6q2e1.exe (trojan.pws.multi.75);
и кричит при запуске винды что нужно установить найденное оборудование, у этого оборудования даже названия нет

Буду пробовать как сказали...

Кроме того подготовьте ещё лог
Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
Можете установить Recovery Console по инструкции - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix), и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС и сохраните на рабочий стол (напр. Windows XP с пакетом обновления 2 (SP2) (http://support.microsoft.com/kb/310994#) - для Windows XP SP3 использовать также этот файл), закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=535d248d-5e10-49b5-b80c-0a0205368124)
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix) и тут (http://virusnet.info/forum/showthread.php?t=2773)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exeи тут (http://virusnet.info/forum/showthread.php?t=2773)

Всё...сделал. Вот логи. И не могли бы вы описать мне стандартную процедуру, которую необходимо выполнять время от времени для выявления неполадок, и что делать если с системой будет что то не так. Просто облазил несколько форумов, везде процедура почти одна и та же, но с использованием различных программ, запутался слегка. Вот вы говорите, что RSIT в правилах не уместен, нужен ComboFix. Если не трудно разъясните что к чему и когда. Буду очень признателен.

Majest1c, не путайте грешное с праведным :) Есть стандарт (см. правила) но Ваше заражение требует нестандартного лечения. Вот и появился ComboFix.

Вот вы говорите, что RSIT в правилах не уместен »
Я говорю это по тому, что на этом ресурсе стандартом есть HJT, а не RSIT.


Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1)
- скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=1&act=down), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли


Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
KillAll::

File::
c:\windows\system32\qsuszum.dll
c:\windows\system32\00.scr
c:\windows\system32\77.scr

NetSvc::
qkqaska
heiwf

Driver::
heiwf
qkqaska

Folder::

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\qkqaska]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8447:TCP"=-
FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/CFScript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

=) ну я думаю после нескольких таких ситуаций всё таки разберусь что к чему...Вот лог...

Включите встроенный брандмауэр windows, запретите 445 и 139 порт (уберите в исключениях брандмауэра (http://www.microsoft.com/rus/windowsxp/sp2/sp2_wfexeptions.mspx) общий доступ к файлам и принтерам), дополнительно можете воспользоваться утилитой wwdc (http://www.firewallleaktester.com/wwdc.htm), описание здесь (http://saule.sporaw.ru/library/wwdc.html)

Скачайте Flash Drive Disinfector (http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe) и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf
Установите обновления
MS08-067 (http://www.microsoft.com/technet/security/...n/ms08-067.mspx (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx))
MS08-068 (http://www.microsoft.com/technet/security/...n/ms08-068.mspx (http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx))
MS09-001 (http://www.microsoft.com/technet/security/...n/ms09-001.mspx (http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx))




Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
KillAll::

File::
c:\windows\system32\qsuszum.dll
NetSvc::
odetbz
Driver::
odetbz

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/CFScript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Порты закрыл, утилитой воспользовался, а вот как установить обновления я к сожалению не знаю =)

Вот отчет ComboFix, обновления не могу установить.

как установить обновления я к сожалению не знаю »1. Переходите по ссылке
2. В таблице выбираете ссылку для своей операционной системы и сервис-пака (Windows XP Service Pack 2) и переходите по ней
3. В Change Language выбираете нужный язык и нажимаете Change
4. Нажимаете кнопку Загрузить (Download)
5. Скачиваете патч
6. Повторяете пп. 1 - 5 для всех патчей
7. Запускаете каждый из скачанных патчей на выполнение

Обновления установил, еще раз воспользовался последним скриптом, вот логи

Проверьте www.virustotal.com
c:\windows\system32\sfcfiles.dll

Что с проблемами?

Вчера еще видел соединение z-connect, но интернет не отключался, удалил это подключение и
больше его ненаблюдал. Ошибка svchost.exe пока не беспокоит. По прежнему после запуска
системы windows находит новое оборудование со стремным названием "Нет данных" и предлагает
установить его. Проверил c:\windows\system32\sfcfiles.dll через сайт www.virustotal.com
результат в прикрепленных файлах вместе с отчетами аваста, касперского и Curelt'а (думаю
инфа может быть полезной). На флешке попрежнему сидит зараза в папке RECYCLER. Касперский
ругался на файлы в карантине "C:\Qoobox\Quarantine\C\WINDOWS\system32\...". Кстати хотел
спросить, что делать, если при использовании различных антивирусных программ один ругается
на файлы в карантине другого антивируса, что вообще с карантином делать...системные там
файлы или нет. Dr. Web ругается на SDFix и Flash Disinfector =). Долго однако
сканировалось. Лог файлы для анализа собрал. Ах да...установил все обновления предлогаемые
Microsoft кроме SP3, просто предыдущие попытки увенчались тем, что
требовали регистрационный ключ которого естественно у меня не было. Что делать с SP3? Вроде
всё =)
отчет каспера не влазит...

Серьезных проблем сейчас не вижу.

Будем фиксить мелкие.

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"
http://virusnet.info/images/Combofix-unninstal.JPG

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=21&act=down), запустите, нажмите Clean up


AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
begin
ExecuteStdScr(6);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Что с проблемами?

Проверьте почту, всё что надо сделал. Беспокоит пока что только предложение установить стрёмное оборудование: "Этот мастер помогает установить программное обеспечение для указаного устройства: Нет данных", и то что постоянно при полной проверки нахожу на флешке вирусы в папке Recycler. Всё...это то, что заметно

постоянно при полной проверки нахожу на флешке вирусы в папке Recycler. »
Отформатируйте флэшку.

что бы это зделать мне нужно скопировать всю инфу с неё на комп, ибо в этой инфе всё что мне надо, и я вот думаю как бы не заразить случайно комп. Щас скопирую, почищу флешку, надеюсь всё норм будет.

Majest1c, скрипт AVZ выполнили? Он должен очистить следы AVZ в системе.

Скрипт выполнил, как я и предполагал копируя важные для меня файлы скопировались папки Autorun.inf, Recycler, System Volume Information, зато флешка чиста, форматну диск D то я нахватаю еще поболее вирусов чем щас есть, что бы все файлы востановить, с универа точно натаскаюсь всякой дряни. Надо лечить...