Всё как обычно, вирус !!!

Printable View

15.02.2008, 16:14
falkk

Всё как обычно, вирус !!!

Здравствуйте, помогите избавиться от вируса(сов) , девушка посидела за компом 15 минут и теперь куча проблем >:(

[[color=#CC0000]moderated: карантин запрещено прикреплять к сообщению![/color]]
15.02.2008, 16:24
rubin

virusinfo_cure.zip - сюда:
[url]http://virusinfo.info/upload_virus.php?tid=18097[/url]
Из поста сотрите. Логи сейчас гляну

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Восстановление системы: включено - отключите

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelCLSID('441EF6D9-C6A2-419f-9A71-977E2004EE14');
QuarantineFile('C:\WINDOWS\system32\winlagons.exe','');
QuarantineFile('C:\WINDOWS\Temp\_ISTMP1.DIR\_ISTMP0.DIR\Shutdown.exe','');
QuarantineFile('C:\WINDOWS\system32\bnbs.dll','');
QuarantineFile('C:\WINDOWS\mmhren1.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\NdisWon.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ntxk71.sys','');
QuarantineFile('C:\WINDOWS\system32\diperto249e-54.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Syf41.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Syf41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\NdisWon.sys');
DeleteFile('C:\WINDOWS\Temp\_ISTMP1.DIR\_ISTMP0.DIR\Shutdown.exe');
DeleteFile('C:\WINDOWS\system32\bnbs.dll');
DeleteFile('C:\WINDOWS\system32\winlagons.exe');
DeleteFile('C:\WINDOWS\mmhren1.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Ntxk71.sys');
BC_ImportAll;
BC_DeleteFile('C:\WINDOWS\System32\Drivers\NdisWon.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Syf41.sys1');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Ntxk71.sys');
BC_DeleteSvc('Google Online Search Service');
BC_DeleteSvc('Syf41');
BC_DeleteSvc('Ntxk71');
BC_DeleteSvc('NdisWon');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18097[/url]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O20 - Winlogon Notify: LogCrypt - C:\WINDOWS\
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O22 - SharedTaskScheduler: edfjgj - {441EF6D9-C6A2-419f-9A71-977E2004EE14} - C:\WINDOWS\system32\bnbs.dll (file missing) [/CODE]
3. Логи повторите
15.02.2008, 16:56
falkk

1. Запустил скрипт , перезагрузился

2.Пофиксил в HijackThis следующие строчки
[I]O20 - Winlogon Notify: LogCrypt - C:\WINDOWS\
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
[/I]строки 022 небыло , перезагрузился

3. Высылаю новые логи.
15.02.2008, 17:06
rubin

[URL="http://www.wasm.ru/baixado.php?mode=tool&id=392"]скачать[/URL] ...
- отключить антивирус
- оключиться от интернета
tools - wipe/copy file - browse и находим файл C:\WINDOWS\system32\Drivers\Syf41.sys - direct file content wiping - do operation - закрыть программу..
- перезагрузиться ...

Затем скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\Drivers\Syf41.sys');
DeleteFile('C:\WINDOWS\system32\diperto249e-54.sys');
BC_ImportDeletedList;
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Syf41.sys');
BC_DeleteFile('C:\WINDOWS\system32\diperto249e-54.sys');
BC_DeleteSvc('Syf41');
BC_DeleteSvc('diperto249e-54');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Лог virusinfo_syscure повторите
15.02.2008, 17:20
falkk

Всё сделал как вы сказали , высылаю логи.
15.02.2008, 17:23
rubin

Хм... живучее. Попробуем так:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Syf41\0000', 'CSConfigFlags', '1');
DeleteFile('C:\WINDOWS\system32\Drivers\Syf41.sys');
BC_ImportDeletedList;
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Syf41.sys');
BC_DeleteSvc('Syf41');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Опять повторите последний лог...
15.02.2008, 17:30
falkk

готово , логи.:?
15.02.2008, 17:43
rubin

[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачайте [/URL]
меню File - файл C:\WINDOWS\system32\drivers\Syf41.sys -force delete
Затем скрипт:
[code]
begin
DeleteFile('C:\WINDOWS\system32\Drivers\Syf41.sys');
BC_ImportDeletedList;
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Syf41.sys');
BC_DeleteSvc('Syf41');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
Опять лог...
15.02.2008, 19:35
falkk

Извиняюсь что так долго, вот логи.
15.02.2008, 19:41
rubin

Поздравляю с удалением ;)
Есть еще проблемы?
15.02.2008, 20:17
falkk

Удалился да ??? ааа...спасибо вам огромное вы мне очень помогли.:D:D
15.02.2008, 20:22
rubin

Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!

Удачи!
16.02.2008, 12:38
falkk

Опять 25-))

Здравствуйте еще раз у меня возникла очередная проблема опять вирус.Источником оказался наш собственный сайт на который мы ежедневно заходим (непонятно правда как умудрились внедрить вредоностный код в наш сайт) Помогите пожалуйста , высылаю логи.>:(
16.02.2008, 12:44
V_Bond

очистите временные интернет файлы - через свойства обозревателя ...
3 антивируса - это много ... думаю стоит оставить один ...
как проявляется действие зловреда ?
16.02.2008, 12:54
falkk

1.Чистил ... не помогает
2.Теперь антивируса два Antivir и AVZ
3.антивирус AVG который стоял ранее определил его как
Trojan horse Generic9. (точно не помню), при удалении файлов они появляются заново ...да и на диске С:\ появляется всякая ерунда вроде sdfjiaejg.exe ...
16.02.2008, 13:06
V_Bond

отключите антивирус ..
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\sasha\Local Settings\Temporary Internet Files\Content.IE5\CPY7K5UR\index[1].htm');
DeleteFile('C:\Documents and Settings\sasha\Local Settings\Temporary Internet Files\Content.IE5\K5UFSPIN\file[1].exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите лог авз ...
16.02.2008, 13:20
falkk

готово , вот логи.
16.02.2008, 13:22
V_Bond

нужен avz - стандартный скрипт 3 - в остальных нет ничего ...
16.02.2008, 13:46
falkk

вот готово.
16.02.2008, 14:10
falkk

Так у меня всё ушло????
16.02.2008, 16:22
V_Bond

в логах ничего подозрительного какие -то проблемы остались ?
16.02.2008, 18:04
falkk

Вроде все хорошо и с сайта удалил код, спасибо вам огромное за помощь.;)