Всё как обычно, вирус !!!

[falkk]

Здравствуйте, помогите избавиться от вируса(сов) , девушка посидела за компом 15 минут и теперь куча проблем

[moderated: карантин запрещено прикреплять к сообщению!]

[rubin]

virusinfo_cure.zip - сюда:
http://virusinfo.info/upload_virus.php?tid=18097
Из поста сотрите. Логи сейчас гляну

Добавлено через 8 минут

Восстановление системы: включено - отключите

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DelCLSID('441EF6D9-C6A2-419f-9A71-977E2004EE14');
 QuarantineFile('C:\WINDOWS\system32\winlagons.exe','');
 QuarantineFile('C:\WINDOWS\Temp\_ISTMP1.DIR\_ISTMP0.DIR\Shutdown.exe','');
 QuarantineFile('C:\WINDOWS\system32\bnbs.dll','');
 QuarantineFile('C:\WINDOWS\mmhren1.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\NdisWon.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Ntxk71.sys','');
 QuarantineFile('C:\WINDOWS\system32\diperto249e-54.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Syf41.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\Syf41.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\NdisWon.sys');
 DeleteFile('C:\WINDOWS\Temp\_ISTMP1.DIR\_ISTMP0.DIR\Shutdown.exe');
 DeleteFile('C:\WINDOWS\system32\bnbs.dll');
 DeleteFile('C:\WINDOWS\system32\winlagons.exe');
 DeleteFile('C:\WINDOWS\mmhren1.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Ntxk71.sys');
 BC_ImportAll;
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\NdisWon.sys');
 BC_DeleteFile('C:\WINDOWS\system32\Drivers\Syf41.sys1');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Ntxk71.sys');
 BC_DeleteSvc('Google Online Search Service');
 BC_DeleteSvc('Syf41');
 BC_DeleteSvc('Ntxk71');
 BC_DeleteSvc('NdisWon');
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18097

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O20 - Winlogon Notify: LogCrypt - C:\WINDOWS\
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O22 - SharedTaskScheduler: edfjgj - {441EF6D9-C6A2-419f-9A71-977E2004EE14} - C:\WINDOWS\system32\bnbs.dll (file missing)

3. Логи повторите

[falkk]

1. Запустил скрипт , перезагрузился

2.Пофиксил в HijackThis следующие строчки
O20 - Winlogon Notify: LogCrypt - C:\WINDOWS\
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
строки 022 небыло , перезагрузился

3. Высылаю новые логи.

[rubin]

скачать ...
- отключить антивирус
- оключиться от интернета
tools - wipe/copy file - browse и находим файл C:\WINDOWS\system32\Drivers\Syf41.sys - direct file content wiping - do operation - закрыть программу..
- перезагрузиться ...


Затем скрипт:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\system32\Drivers\Syf41.sys');
 DeleteFile('C:\WINDOWS\system32\diperto249e-54.sys');
 BC_ImportDeletedList;
 BC_DeleteFile('C:\WINDOWS\system32\Drivers\Syf41.sys');
 BC_DeleteFile('C:\WINDOWS\system32\diperto249e-54.sys');     
 BC_DeleteSvc('Syf41');
 BC_DeleteSvc('diperto249e-54');     
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

Лог virusinfo_syscure повторите

[falkk]

Всё сделал как вы сказали , высылаю логи.

[rubin]

Хм... живучее. Попробуем так:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Syf41\0000', 'CSConfigFlags', '1');   
 DeleteFile('C:\WINDOWS\system32\Drivers\Syf41.sys');
 BC_ImportDeletedList;
 BC_DeleteFile('C:\WINDOWS\system32\Drivers\Syf41.sys');
 BC_DeleteSvc('Syf41');
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

Опять повторите последний лог...

[falkk]

готово , логи.

[rubin]

Скачайте
меню File - файл C:\WINDOWS\system32\drivers\Syf41.sys -force delete
Затем скрипт:

Код:

begin
 DeleteFile('C:\WINDOWS\system32\Drivers\Syf41.sys');
 BC_ImportDeletedList;
 BC_DeleteFile('C:\WINDOWS\system32\Drivers\Syf41.sys');
 BC_DeleteSvc('Syf41');
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

Опять лог...

[falkk]

Извиняюсь что так долго, вот логи.

[rubin]

Поздравляю с удалением
Есть еще проблемы?

[falkk]

Удалился да ??? ааа...спасибо вам огромное вы мне очень помогли.

[rubin]

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

Удачи!

[falkk]

Здравствуйте еще раз у меня возникла очередная проблема опять вирус.Источником оказался наш собственный сайт на который мы ежедневно заходим (непонятно правда как умудрились внедрить вредоностный код в наш сайт) Помогите пожалуйста , высылаю логи.

[V_Bond]

очистите временные интернет файлы - через свойства обозревателя ...
3 антивируса - это много ... думаю стоит оставить один ...
как проявляется действие зловреда ?

[falkk]

1.Чистил ... не помогает
2.Теперь антивируса два Antivir и AVZ
3.антивирус AVG который стоял ранее определил его как
Trojan horse Generic9. (точно не помню), при удалении файлов они появляются заново ...да и на диске С:\ появляется всякая ерунда вроде sdfjiaejg.exe ...

[V_Bond]

отключите антивирус ..
выполните скрипт ...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\Documents and Settings\sasha\Local Settings\Temporary Internet Files\Content.IE5\CPY7K5UR\index[1].htm');
 DeleteFile('C:\Documents and Settings\sasha\Local Settings\Temporary Internet Files\Content.IE5\K5UFSPIN\file[1].exe');     
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

повторите лог авз ...

[falkk]

готово , вот логи.

[V_Bond]

нужен avz - стандартный скрипт 3 - в остальных нет ничего ...

[falkk]

вот готово.

[falkk]

Так у меня всё ушло????