Limar

Здравствуйте, уважаемые администраторы. У меня проблема с уже нашумевшим тут вирусом Лимар - который выдает ошибку services.exe на полное сканирование не хватало времени - перезагружало, но вашими утилитами просканировал. Высылаю логи.

PS: я очень плохо во всем этом разбираюсь, поэтому прошу неругать если что-то не пойму
PPS: спасибо огромное, писавшему правила - я хотя бы понял что делать.
PPPS: пожалуйста - помогите мне как можно быстрее, иначе я боюсь возникнут серьезные проблемы с работой.

с ув.

Ой ... первый скан az4 не успевает выполнится до конца и лог похоже не сохраняется (((

простите лог который с лечением и карантином не удается до конца записать - записал почти до конца ) вот ) только название не стандартное

1. Выполните скрипт:
[QUOTE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('vb5dmspo.dll','');
QuarantineFile('svchost32.exe','');
QuarantineFile('jsssvc.exe','');
QuarantineFile('C:\WINDOWS\ais32.exe s','');
QuarantineFile('C:\WINDOWS\System32\slbipsch.dll','');
QuarantineFile('C:\WINDOWS\System32\loader2.exe3072.exe','');
QuarantineFile('C:\Documents3072.exe','');
QuarantineFile('C:\WINDOWS\System32\Macromed\Common\SwSupport.dll','');
QuarantineFile('C:\WINDOWS\System32\diagisr.dll','');
QuarantineFile('C:\WINDOWS\System32\confbrw.dll','');
QuarantineFile('C:\WINDOWS\System32\brwstat.dll','');
QuarantineFile('c:\program files\warrun\warrun.exe','');
QuarantineFile('c:\documents and settings\neko\Рабочий стол\inetaccess.exe','');
DeleteFile('C:\WINDOWS\System32\brwstat.dll');
DeleteFile('C:\WINDOWS\System32\confbrw.dll');
DeleteFile('C:\WINDOWS\System32\diagisr.dll');
DeleteFile('C:\WINDOWS\System32\brwconf.exe');
DeleteFile('brwstat.dll');
DeleteFile('cmh.exe');
DeleteFile('confbrw.dll');
DeleteFile('diagisr.dll');
DeleteFile('e1.dll');
DeleteFile('svchost32.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/QUOTE]
2. Пришлите по правилам карантин.
3. Пофиксите:
[QUOTE]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://www.7wolf.net[/url]
O4 - HKLM\..\Run: [Microsft Security Monitor Process] cmh.exe
O4 - HKLM\..\Run: [Microsoft Windows Update 32] svchost32.exe
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "D:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [chater.exe] C:\WINDOWS\ais32.exe s
O4 - HKLM\..\Run: [brwdiag] C:\WINDOWS\System32\brwconf.exe
O4 - HKLM\..\RunServices: [jssvc23] jsssvc.exe
O4 - HKLM\..\Run: [jssvc23] jsssvc.exe
O4 - HKCU\..\Run: [WinMedia] C:\Documents3072.exe
O20 - Winlogon Notify: slbipsch - C:\WINDOWS\System32\slbipsch.dll (file missing)[/QUOTE]
4. Новые логи полностью. Будем warezov долечивать.

простите за наверное тупой ответ ... но выполнил первый скрипт - написали скрипт выполнен без ошибок, и закрылся виндоус ...

Все правильно. Для удаления варезова надо было перезагрузиться.
Выполняйте остальное. Обязательно вышлите файлы.
И новые логи обязательно. !00% что-то осталось.

и вопрос еще наверное глупее, что значит выслать по правилам карантин? *стесняется* в правилах нету такого пункта (((

спасибо на самом деле огромное за то что помогаете ... просто я никогда с этим не сталкивался и не очень понимаю о чем вы говорите :(

[QUOTE=новичек;88264]и вопрос еще наверное глупее, что значит выслать по правилам карантин? *стесняется* в правилах нету такого пункта ((([/QUOTE]
См. Приложение 2 Правил.

Вам можно начинать с пункта 5.

Ссылка на вашу тему:
[url]http://virusinfo.info/showthread.php?t=7202[/url]

спасибо кажется понял - высылаю ))

на счет фикса - к сожалению я не могу найти вторую строчку ... наверное что-то не так сделал ((

[quote=новичек;88269]на счет фикса - к сожалению я не могу найти вторую строчку ... наверное что-то не так сделал (([/quote]
ничего страшного, ищите третью.
Видимо AVZ зачистил реестр.

нету многих строчек даже ...

харашо все что было я отметил ) начинаю фиксить ))

[quote=новичек;88271]нету многих строчек даже ...[/quote]
Очень хорошо.

у вас:
Email-Worm.Win32.Banwarum.f
Email-Worm.Warezov.hw

щас посканирую и вышлю новые логи)) а вы не знаете где я мог это подцепить и как этого избежать в дальнейшем?

1. Выполните скрипт:
[QUOTE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\diagisr.dll');
DeleteFile('C:\WINDOWS\System32\confbrw.dll');
DeleteFile('C:\WINDOWS\System32\brwstat.dll');
DeleteFile('C:\WINDOWS\System32\brwstat.dll');
DeleteFile('C:\WINDOWS\System32\confbrw.dll');
DeleteFile('C:\WINDOWS\System32\diagisr.dll');
DeleteFile('C:\WINDOWS\System32\brwconf.exe');
DeleteFile('brwstat.dll');
DeleteFile('cmh.exe');
DeleteFile('confbrw.dll');
DeleteFile('diagisr.dll');
DeleteFile('e1.dll');
DeleteFile('svchost32.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/QUOTE]

сейчас секунду досканируется )

новые логи только ПОСЛЕ выполнения нового скрипта.

[QUOTE=новичек;88276]вы не знаете где я мог это подцепить и как этого избежать в дальнейшем?[/QUOTE]
Подцепили наверняка через это решето:
[code]Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)[/code]
Чтобы избежать в дальнейшем, надо обновить до SP2 и поставить россыпь заплаток, которые вышли после SP2 (шесть десятков примерно). Активировать брандмауэр (или поставить что-нибудь стороннее). Тогда будете более-менее защищены. Ещё можно посоветовать перейти на FireFox или Opera, а почтовый клиент сменить на Thunderbird или TheBat!.

так скрипт поставил - щас самый долгий скан доделываю и высылаю

первый лог сохраняться начисто отказывается

вот почти до конца чтобы сохранить можно было

[quote=pig;88281]Ещё можно посоветовать перейти на FireFox [/quote]
У человека и так Firefox