Поймал Wigon.BS

[Multur]

Пожалуйста

[Aleksandra]

Ну хоть что-то удалилось. Теперь папки c:\ainfected и c:\asuspected и все их содержимое заархивируйте в архив с паролем virus и пришлите нам по ссылке вверху темы. После повторите лог virusinfo_syscheck.

Добавлено через 2 минуты

Сканер не удаляйте! Он обновляемый и может понадобиться в будущем. Для обновления достаточно запустить батник update.bat.

[Multur]

1 файл ainfected.zip:

Файл сохранён как 090614_213658_ainfected_4a35353acdd9e.zip
Размер файла 4351992
MD5 8cfd6121f20db7967f8f9513a609aa74

2 файл asuspected.zip:

Файл сохранён как 090614_213945_asuspected_4a3535e15db6b.zip
Размер файла 5959709
MD5 4a97f97275b8fc95497356b9558cf415

[Rene-gad]

1 файл ainfected.zip:

Ответ ВЛ

FighterFX.exe_, FighterFX.exe_.unp, file_id.diz, FP_AX_CAB_INSTALLER.exe_, POST.exe_, sd4hide.exe_, sd4hide11-skl.zip.file_id.diz, sd4hide11-skl.zip.sd4hide11-skl.rar.sd4hide.exe.unp, sd4hide11-skl.zip.sd4hide11-skl.rar.sd4hide.exe_, sd4hide11-skl.zip.skull.nfo, skull.nfo, wab.exe_

Вредоносный код в файлах не обнаружен.

[Multur]

то есть компьютер чист?
а что на счет iframe который ворует пароли по FTP это тоже вылечили? у меня сейчас заблокированы все мои сайты все эти дни что мы возимся с моим компьютером

[Rene-gad]

то есть компьютер чист?

Кто это Вам сказал? В присланных файлах ничего не обнаружено и компьютер чист - это не одно и тоже.

[Multur]

тогда какие действия будут следующими?

[Aleksandra]

Идеи еще будут. Подождите до завтра.

[Rene-gad]

Скачайте IceSword, удалите с помощью force delete файлы:

Код:

C:\WINDOWS\system32\drivers\ws2_32sik.sys
C:\WINDOWS\system32\drivers\systemntmi.sys
C:\WINDOWS\system32\drivers\securentm.sys
C:\WINDOWS\system32\drivers\port135sik.sys
C:\WINDOWS\system32\drivers\nicsk32.sys
C:\WINDOWS\system32\drivers\netsik.sys
C:\WINDOWS\system32\drivers\ksi32sk.sys
C:\WINDOWS\system32\drivers\i386si.sys
C:\WINDOWS\system32\drivers\fips32cup.sys
C:\WINDOWS\System32\Drivers\ati8qwxx.sys
C:\WINDOWS\System32\Drivers\ati7qwxx.sys
C:\WINDOWS\system32\drivers\ati64si.sys
C:\WINDOWS\System32\Drivers\ati4flxx.sys
C:\WINDOWS\System32\Drivers\ati2flxx.sys
C:\WINDOWS\System32\Drivers\ati1kqxx.sys
C:\WINDOWS\system32\drivers\acpi32.sys
C:\WINDOWS\system32\activedso.exe
C:\WINDOWS\system\netmon.exe

конечно при условии, что Вы их найдете...
Потом сделайте лог syscheck.

[Multur]

ни одного такого файла нет

[Aleksandra]

1. Деисталлируйте с компьютера все эмуляторы дисков.
2. Выполните http://virusinfo.info/showthread.php?t=10025

Скачайте AVZ у меня в подписи и далее работайте только с ним!

3. Отключите востановление системы и антивирус.
4. Попробуйте выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\Drivers\vde0ntqw.sys');
 DeleteFile('C:\Temp\aswArKrn.sys');
 DeleteFile('C:\WINDOWS\system32\activedso.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati1kqxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati2flxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati4flxx.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati7qwxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati8qwxx.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
 DeleteFile('C:\Documents and Settings\LocalService\.exe');
 DeleteFile('C:\WINDOWS\system\netmon.exe');
 DeleteFile('C:\WINDOWS\system32\hidec');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('vde0ntqw');
BC_DeleteSvc('aswArKrn');
BC_DeleteSvc('stisvcSSDPSRV');
BC_DeleteSvc('ws2_32sik');
BC_DeleteSvc('systemntmi');
BC_DeleteSvc('securentm');
BC_DeleteSvc('port135sik');
BC_DeleteSvc('nicsk32');
BC_DeleteSvc('netsik');
BC_DeleteSvc('ksi32sk');
BC_DeleteSvc('i386si');
BC_DeleteSvc('fips32cup');
BC_DeleteSvc('ati8qwxx');
BC_DeleteSvc('ati7qwxx');
BC_DeleteSvc('ati64si');
BC_DeleteSvc('ati4flxx');
BC_DeleteSvc('ati2flxx');
BC_DeleteSvc('ati1kqxx');
BC_DeleteSvc('amd64si');
BC_DeleteSvc('acpi32');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

Если скрипт не пройдет, то поочередно удаляйте из него строчки:

1) Красные.
2) Синие.
3) Зеленые.
4) Желтые.

и пробуйте еще раз выполнить скрипт.

5. Независимо от результата повторите лог virusinfo_syscheck.

p. s. Я Вас не бросаю. Будем пробовать различные варианты. Пока я не могла ответить, все мои идеи воплощал в жизнь мой друг и коллега Rene-gad. Ему персональное спасибо.

Добавлено через 17 минут

Если ничего не выйдет, то попробуйте проделать все в безопасном режиме. Заодно, запомните скрипт который пройдет без ошибки. Это важно.

[Multur]

Ураааа, скрипт прошел без ошибок

[Rene-gad]

Тогда запустите АВЗ/Файл/Восстановление системы, отметтье только п.13 и запустите.
Перегрузитесь и сделайте полный комплект логов в соответствии с правилами

[Multur]

все выполнил

[Rene-gad]

Ничего подозрительного не видно.
Жалобы есть?

[Multur]

ну пока нет нужно хостинг включить
кстати по поводу фтп ни чего не нужно делать?

[Rene-gad]

ну пока нет нужно хостинг включить

Флаг в руки...

по поводу фтп ничего не нужно делать?

в смысле?

[Multur]

что то ворует пароли от ftp и прописывает iframe

[Rene-gad]

что то ворует пароли от ftp и прописывает iframe

Это и сейчас продолжается? Вы это точно установили? Или это предположения?

[Multur]

нет это было в процесе ваших трудов над моим компьютером, я все исправил но проникновение было опять, после чего я заблокировал аккаунт всех сайтов.
И сейчас боюсь что может повториться