svhost съедает процесор а тотал командер вытирает мои странички в нете

[danjastar]

вычистить вредоносные коды со страниц сайта.

- это как и где прям в теле страницы? а как их распознать?

[Bratez]

это как и где прям в теле страницы?

Ну да...

а как их распознать?

Ну свое от чужого отличить не так уж трудно.
Или вы сайт не сами делали?
Поищите тэги IFRAME.

[danjastar]

Или вы сайт не сами делали

но с помощью дрим вейвера, я так понял что там должны быть ссылки на внешние ресурсы или нет? IFRAME и все или еще что то ?

Добавлено через 31 секунду

сам

[Bratez]

Возможно, я поспешил с выводами относительно сервиса msupdate.
Давайте попробуем еще такой скрипт:

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('c:\windows\system32\mssrv32.exe','');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

Пришлите новый карантин, если будет не пустой.

Добавлено через 5 минут

я так понял что там должны быть ссылки на внешние ресурсы или нет? IFRAME и все или еще что то

Ссылки может и не быть, может быть скрипт или какая-нибудь длиннющая шестнадцатеричная константа, возможно что-то еще, я не силен в хтмл, яваскриптах и технологии этих псаймов...

[danjastar]

по моему скрипт не выполняется коректно,пробовал дважды он написал что выполнил после чего пытаюсь сохранить карантин - AVZ зависает а фаерфокс вырубается при попытке запустить пишет что нет доступа ( тоже самое с IE ) после выполнения в окне АВЗ - много красного, в процессе выполнения скрипта надолго зависает на файле netapi32.dll

[Bratez]

Загляните в папку Quarantine\<текущая дата>\ и почитайте содержимое *.ini файлов. Если в каком-то найдете упоминание о c:\windows\system32\mssrv32.exe, пришлите *.dat файл с тем же именем, как у ini (в виде архива с паролем virus).

[danjastar]

сделал

[Bratez]

Свеженький! На Вирустотал никто однозначно не детектит, только несколько подозрений. Отправил в ЛК, подождем ответа.

[danjastar]

ну хоть обозначили проблему! Спасибо большое! а что мне делать с сайтом? создать отдельную тему? менять пароль сейчас или дождаться излечения?

[Bratez]

1. Ждем вердикта ЛК.
2. Удаляем зловреда.
3. Меняете пароль.
4. Чистите страницы.

[danjastar]

3 и 4 уже выполнил но потом повторю! спс!

[Bratez]

Вердикт от ЛК получен: avz00001.dta - Backdoor.Win32.Agent.art
Выполните скрипт:

Код:

begin
BC_DeleteSvc('msupdate');
BC_DeleteFile('c:\windows\system32\mssrv32.exe');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки сделайте новый лог HijackThis для контроля.

[danjastar]

есть ! неужели я чист?

[Muzzle]

Да,теперь у вас всё чисто.
Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

Удачи!

[danjastar]

РЕБЯТА всем огромное спасибо! жаль нельзя приложить к меседжу пиво ))) правильное дело делаете!!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 6
• Обработано файлов: 49
• В ходе лечения обнаружены вредоносные программы:
  
  1. \\avz00001.dta - Backdoor.Win32.Agent.art (DrWEB: Trojan.MulDrop.8347)