Пожалуйста :)
Printable View
Пожалуйста :)
Ну хоть что-то удалилось. :) Теперь папки c:\ainfected и c:\asuspected и все их содержимое заархивируйте в архив с паролем virus и пришлите нам по ссылке вверху темы. После повторите лог [B]virusinfo_syscheck.[/B]
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Сканер не удаляйте! Он обновляемый и может понадобиться в будущем. Для обновления достаточно запустить батник update.bat.
1 файл ainfected.zip:
Файл сохранён как 090614_213658_ainfected_4a35353acdd9e.zip
Размер файла 4351992
MD5 8cfd6121f20db7967f8f9513a609aa74
2 файл asuspected.zip:
Файл сохранён как 090614_213945_asuspected_4a3535e15db6b.zip
Размер файла 5959709
MD5 4a97f97275b8fc95497356b9558cf415
[QUOTE=Multur;416806]1 файл ainfected.zip:[/QUOTE]
Ответ ВЛ
[QUOTE]FighterFX.exe_, FighterFX.exe_.unp, file_id.diz, FP_AX_CAB_INSTALLER.exe_, POST.exe_, sd4hide.exe_, sd4hide11-skl.zip.file_id.diz, sd4hide11-skl.zip.sd4hide11-skl.rar.sd4hide.exe.unp, sd4hide11-skl.zip.sd4hide11-skl.rar.sd4hide.exe_, sd4hide11-skl.zip.skull.nfo, skull.nfo, wab.exe_
Вредоносный код в файлах не обнаружен.
[/QUOTE]
то есть компьютер чист?
а что на счет iframe который ворует пароли по FTP это тоже вылечили? у меня сейчас заблокированы все мои сайты все эти дни что мы возимся с моим компьютером :(
[QUOTE=Multur;417028]то есть компьютер чист?[/QUOTE]Кто это Вам сказал? :O [I]В присланных файлах ничего не обнаружено[/I] и [I]компьютер чист[/I] - это не одно и тоже.
тогда какие действия будут следующими?
Идеи еще будут. Подождите до завтра.
Скачайте IceSword, удалите с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL] файлы:
[CODE]C:\WINDOWS\system32\drivers\ws2_32sik.sys
C:\WINDOWS\system32\drivers\systemntmi.sys
C:\WINDOWS\system32\drivers\securentm.sys
C:\WINDOWS\system32\drivers\port135sik.sys
C:\WINDOWS\system32\drivers\nicsk32.sys
C:\WINDOWS\system32\drivers\netsik.sys
C:\WINDOWS\system32\drivers\ksi32sk.sys
C:\WINDOWS\system32\drivers\i386si.sys
C:\WINDOWS\system32\drivers\fips32cup.sys
C:\WINDOWS\System32\Drivers\ati8qwxx.sys
C:\WINDOWS\System32\Drivers\ati7qwxx.sys
C:\WINDOWS\system32\drivers\ati64si.sys
C:\WINDOWS\System32\Drivers\ati4flxx.sys
C:\WINDOWS\System32\Drivers\ati2flxx.sys
C:\WINDOWS\System32\Drivers\ati1kqxx.sys
C:\WINDOWS\system32\drivers\acpi32.sys
C:\WINDOWS\system32\activedso.exe
C:\WINDOWS\system\netmon.exe
[/CODE]
конечно при условии, что Вы их найдете... :>
Потом сделайте лог syscheck.
ни одного такого файла нет :(
1. Деисталлируйте с компьютера все эмуляторы дисков.
2. Выполните [url]http://virusinfo.info/showthread.php?t=10025[/url]
[B][COLOR="Red"]Скачайте AVZ у меня в подписи и далее работайте только с ним![/COLOR][/B]
3. Отключите востановление системы и антивирус.
4. Попробуйте выполнить скрипт:
[CODE]begin
[COLOR="Red"]SearchRootkit(true, true);[/COLOR]
[COLOR="#ffff00"]SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\Drivers\vde0ntqw.sys');
DeleteFile('C:\Temp\aswArKrn.sys');[/COLOR]
[COLOR="#00ff00"]DeleteFile('C:\WINDOWS\system32\activedso.exe');[/COLOR]
[COLOR="Blue"]DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1kqxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2flxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7qwxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8qwxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');[/COLOR]
DeleteFile('C:\Documents and Settings\LocalService\.exe');
DeleteFile('C:\WINDOWS\system\netmon.exe');
DeleteFile('C:\WINDOWS\system32\hidec');
[COLOR="#ffff00"]BC_ImportDeletedList;[/COLOR]
ExecuteSysClean;
[COLOR="#ffff00"]BC_DeleteSvc('vde0ntqw');
BC_DeleteSvc('aswArKrn');[/COLOR]
[COLOR="Lime"]BC_DeleteSvc('stisvcSSDPSRV');[/COLOR]
[COLOR="Blue"]BC_DeleteSvc('ws2_32sik');
BC_DeleteSvc('systemntmi');
BC_DeleteSvc('securentm');
BC_DeleteSvc('port135sik');
BC_DeleteSvc('nicsk32');
BC_DeleteSvc('netsik');
BC_DeleteSvc('ksi32sk');
BC_DeleteSvc('i386si');
BC_DeleteSvc('fips32cup');
BC_DeleteSvc('ati8qwxx');
BC_DeleteSvc('ati7qwxx');
BC_DeleteSvc('ati64si');
BC_DeleteSvc('ati4flxx');
BC_DeleteSvc('ati2flxx');
BC_DeleteSvc('ati1kqxx');
BC_DeleteSvc('amd64si');
BC_DeleteSvc('acpi32');[/COLOR]
[COLOR="Yellow"]BC_Activate;[/COLOR]
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Если скрипт не пройдет, то поочередно удаляйте из него строчки:
1) Красные.
2) Синие.
3) Зеленые.
4) Желтые.
и пробуйте еще раз выполнить скрипт.
5. Независимо от результата повторите лог [B]virusinfo_syscheck.[/B]
[B]p. s.[/B] Я Вас не бросаю. Будем пробовать различные варианты. Пока я не могла ответить, все мои идеи воплощал в жизнь мой друг и коллега [B]Rene-gad.[/B] Ему персональное спасибо.
[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]
Если ничего не выйдет, то попробуйте проделать все в безопасном режиме. Заодно, запомните скрипт который пройдет без ошибки. Это важно.
Ураааа, скрипт прошел без ошибок :)
Тогда запустите АВЗ/Файл/Восстановление системы, отметтье только п.13 и запустите.
Перегрузитесь и сделайте полный комплект логов в соответствии с правилами :)
все выполнил
Ничего подозрительного не видно.
Жалобы есть?
ну пока нет нужно хостинг включить :)
кстати по поводу фтп ни чего не нужно делать?
[QUOTE=Multur;419672]ну пока нет нужно хостинг включить :)[/QUOTE]Флаг в руки... 8)
[QUOTE=Multur;419672]по поводу фтп ничего не нужно делать?[/QUOTE]в смысле?
что то ворует пароли от ftp и прописывает iframe
[QUOTE=Multur;419682]что то ворует пароли от ftp и прописывает iframe[/QUOTE]Это и сейчас продолжается? Вы это точно установили? Или это предположения?
нет это было в процесе ваших трудов над моим компьютером, я все исправил но проникновение было опять, после чего я заблокировал аккаунт всех сайтов.
И сейчас боюсь что может повториться