Одолели вирусы :-(

Вот нарвался на вирусы.

Логи смог выполнить только в защищенном - в обычном после логина машина виснет через 5 секунд

Начните с этого: [url]http://virusinfo.info/showthread.php?t=15927[/url]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('botdrv');
StopService('afisicx');
QuarantineFile('C:\WINDOWS\system32\dllhost.exe','');
QuarantineFile('C:\WINDOWS\system32\afisicx.exe','');
QuarantineFile('c:\windows\system32\userinit.exe','');
QuarantineFile('C:\Documents and Settings\Gennadiy\Главное меню\Программы\Автозагрузка\_uninst_.bat','');
QuarantineFile('C:\Documents and Settings\Gennadiy\Application Data\nidle\nidle.exe','');
QuarantineFile('C:\WINDOWS\system32\driver.sys','');
DeleteFile('C:\WINDOWS\system32\driver.sys');
DeleteFile('C:\Documents and Settings\Gennadiy\Application Data\nidle\nidle.exe');
DeleteFile('C:\WINDOWS\system32\afisicx.exe');
DeleteService('afisicx');
DeleteService('botdrv');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('botdrv');
BC_DeleteSvc('afisicx');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Чистил и авптул и куритом - все равно остаются файлы на которые аваст ругается, но и сам вылечить не может.

После скрипта стал загружаться в обычный режим
карантин отправил

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('restore');
QuarantineFile('C:\WINDOWS\system32\drivers\restore.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\restore.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('restore');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...

Отправил карантин
В нем один из файлов что запрошем и еще cmd.exe на который аваст ругается, а каспер и дрвеб не видят
Логи будут позже

NDIS.sys-[B]Rootkit.Win32.Agent.iln [/B] его нужно заменить на чистый из дистрибутива...

[quote=Гриша;380732]NDIS.sys-[B]Rootkit.Win32.Agent.iln [/B]его нужно заменить на чистый из дистрибутива...[/quote]


Заменил
Вот логи до замены

Как я понимаю логи нужно повторить - но уже завтра
Аваст все ругается на cmd и taskmgr, и другие файлы, но вылечить их не может, а каспер с вебом в них вирусы не видят

пуск - выполнить sfc /scannow
затем новые логи

[quote=V_Bond;380745]пуск - выполнить sfc /scannow
затем новые логи[/quote]

А вот это будет подольше - оптического привода нету... нужно будет переписать на флешку... :(

[size="1"][color="#666686"][B][I]Добавлено через 56 минут[/I][/B][/color][/size]

хм
много файлов восстановить не может

Долго вышло

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('botdrv');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\RsFx0102.sys','');
QuarantineFile('c:\WINDOWS\system32\Rundll32.exe','');
QuarantineFile('C:\WINDOWS\system32\driver.sys','');
DeleteFile('C:\WINDOWS\system32\driver.sys');
DeleteService('botdrv');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('botdrv');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Удалите Bonjour:[url]http://virusinfo.info/showthread.php?t=27923[/url]
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Закачал

[QUOTE]хм
много файлов восстановить не может[/QUOTE]
вы восстанавили ?

после запуска sfc - он сканировал файлы - и восстнанавливал (скорее всего)
иногда он говорил что не может восстановить файл - но какой - не сообщал - следовательно и вручную восстановить не могу, так как не знаю какие файлы имели проблемы :-(

доступ к дистрибутиву был ?

Дистрибутив переписал на флешку - по другому не получалось - привод на ноуте не пашет и заменить не получается - он не стандартный.
сфц ругался что некоторые файлы изменены и он их восстановить не может....

сп3 был интегрирован в дистрибутив ?

да

это хуже, нужно искать юсб cd

в каком плане?

проблема в том, что ноут не самый быстрый... это восстановление длилось многие часы.... и при это нужно постоянно было следить за наличием отсутствия ошибок...

есть вариант вынуть ноут и подключить его по USB - или в крайнем случае... формат с инсталлом

в чем конкретно заключается проблема сейчас

вам нужно проверить целостность системных файлов , для этого нужен диск с дистрибутивом ...

ну это я понял...

диск то есть, но нет оптического привода
а сфц не самая пользовательски интуитивная программа - она не говорит что не так...

попробую расшарить по сети...

нет

по сети не хочет :-(

а нет - после шаманства и пляски с бубном пошло

Вот сделал.

Восстановление прошло без ошибок

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O4 - S-1-5-18 Startup: is-DGV43.lnk = ? (User 'SYSTEM')
O4 - S-1-5-18 Startup: is-DUELS.lnk = ? (User 'SYSTEM')
O4 - Startup: is-DGV43.lnk = ?
O4 - Startup: is-DUELS.lnk = ?
O20 - AppInit_DLLs:
[/CODE]


- Удалите [URL="http://virusinfo.info/showthread.php?t=27923"]Bonjour[/URL]
- Сделайте повторные логи [b]
virusinfo_syscheck.zip
hijackthis.log [/b]

Сделал

этим [url]http://www.tksinc.us/downloads/WinsockXPFix.exe[/url] воспользуйтесь ...
возможно придется вводить сетевые настройки заново

ссылка не пашет
на сайте найти не могу

а [URL="http://www.google.com/search?hl=ru&client=opera&rls=en&q=WinsockXPFix.exe&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&lr="]так[/URL]

Сделал

Что теперь?

virusinfo_syscheck.zip повторите ...

Пока он делается - предположительно около часа - задам вопросы
1. Что делать с файлами, которые аваст говорит что заражены Virus.Vitro но сам вылечить не может, а веб и каспер в них проблем не видят
2. mmc не запускается
3. Install Service не запускается

Хм интересно почему так происходит - иногда сисчек проходит за 5 минут - иногда за час

mmc сам пофиксил

[QUOTE]1. Что делать с файлами, которые аваст говорит что заражены Virus.Vitro[/QUOTE]
прислать согласно приложения 2 правил ...

прислал 1 файл

подождем ответа аналитиков ... но скорее он чистый

инстал сервис тоже уже пофиксил

по тоталвирусу его определяют 2 антивируса... я тоже думаю что он чистый - но как победить аваст - он его в упор за вирус видит

и при запуске фаерфокса тоже ругается на соединение с кемто

[QUOTE=glit;382556]но как победить аваст - он его в упор за вирус видит[/QUOTE][QUOTE]В присланном Вами файле не найдено ничего вредоносного.[/QUOTE]
:) Напишите в техподдержку АВАСТ и пошлите им этот файл как ложняк. Как и что - см. мануал или веб-страничку АВАСТ. Там же посмотрите - может быть можно внести этот конкретный файл в список игнорируемых.

ха - таких файлов - полно :-(

[size="1"][color="#666686"][B][I]Добавлено через 21 минуту[/I][/B][/color][/size]

при запуске фаерфокса аваст кричит что он пытается выйти на zief.pl/rc - на ктором всякие эксплойты... в хоумпейдже явно не стоит....

Отошлите парочку, не нужно все...

А что делать с фаерфоксом?