» Помощь при лечении компьютера от вирусов

nero81
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
DeleteFile('C:\Documents and Settings\костя\Application Data\lsass.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16); {восстановление ключа запуска explorer}
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.

Доброго времени суток.
Такая проблема, поселился ко мне вирус sfc_os.dll s sys32, каспер его нашел, но удалять не может, Cureit вапще ничего не нашел, подскажите как быть?!

setwolk
Если у тебя этот файл имеет размер 140 288 байт и MD5:
b63c563be89f50b9e6f94d89528acb37 *sfc_os.dll
то ИМХО нет повода для беспокойства. Справедливо для Win2k/XP.

setwolk
Как делать логи, написано в шапке.

Sish
Спасибо именно размер такой

Sish
setwolk
Если файл пропатчен руткитом, то возможно, что размер и MD5 подсунет именно руткит

Ваше право, раз Вас успокоил совет - значит всё нормально

после выполнения скрипта, в системе появилось какое-то новое неизвестное устройство. что с ним делать?
логи:
http://rghost.ru/1425616 - virusinfo_syscure
http://rghost.ru/1425659 - virusinfo_syscheck
http://rghost.ru/1425696 - hijackthis

nero81
Устройство - это нормально, это я поставил нотификатор
Выполните скрипт:

Код: begin
ExecuteStdScr(6);
RebootWindows(false);
end.

gjf
всё нормально. спасибо за помощь.

gjf
Но я все равно для чистоты, удалил и подсунул другой который скачал на microsoft

setwolk
А старый на Virustotal отправлять не пробовал?

Sish
Нет, стоит туда отправлять в случае чего?

gjf

Цитата:

В мире существует огромное количество людей, которые являются высококлассными специалистами и понятия не имеют о Ру-Боарде, а потому количество постов здесь - не показатель.

По этому поводу закрадывается лишь один вопрос - почему же эти "высококлассные специалисты" (в кавычках, потому что, я с ними не знаком, а таковыми они называют сами себя - то есть, это просто цитата) выбрали самый посещаемый и уважаемый ресурс рунета на программную тему? Разве таланту так важно начать выступление на первой площадке страны? По моему мнению, если таланты соответствуют заявленным, подобные люди могут сделать имя любому ресурсу рунета. В данном же случае, ситуация мне напоминает таковую с легендарными "МММ", "Русским домом Селенга" и проч., когда их реклама размещалась в самых центральных газетах и на ЦТ, и в ней также говорилось о "высококлассных специалистах", работающих в этих организациях, об их авторизации для занятий этой деятельностью, о том, что время существования этих организаций - не показатель, а также о том, что они настоящие "хелперы" и могут помочь всем, включая любимого халявщика партнера Леню Голубкова.

Возможно, конечно, что заявленные способности означенной группы людей и соответствуют действительности (если не всех, то хотя бы кого-то из них). Но мне думается, остальным пользователям стоит обратить внимание на три вещи:
- бесплатный сыр бывает в мышеловке (в жизни вы много получали профессиональной помощи забесплатно?)
- если профи много тусуется в интернете, то закрадывается логичное подозрение, что его профессиональные способности в жизни не востребованы (то есть, попросту, никому не нужны) и поэтому у него масса свободного времени.
- и последнее - люди часто склонны выдавать желаемое за действительное.

Слова мои навеяны прочтением данного топика. В отличие от авторов топика, я не узурпирую право на истину в последней инстанции. Это лишь информация к размышлению. Дай бог, чтобы сомнения оказались напрасными. Однако, малоопытным пользователям стоит задуматься, прежде чем пользоваться данным топиком для решения своих проблем - тем более, что, например, у Олега Зайцева (автора AVZ) есть собственный форум, где логичнее и правильнее задавать свои вопросы и рассчитывать получить помощь гарантированно из первых рук.

Foss

Цитата:

По этому поводу закрадывается лишь один вопрос

Ответы вверху, потрудитесь почитать:

Цитата:

Обсуждение шапки и всех вопросов в Тестировании - об изменениях/добавлениях отписываемся там

Цитата:

Если Вы сомневаетесь в квалификации указанных пользователей - обратитесь к Администрации ресурса ВирусИнфо

Цитата:

По вопросам о назначении и вообще о политике - смотрим здесь.

gjf
Я не должен ничего себе доказывать (и уж тем более, обращаться на какие-то сомнительные сайты - если они для вас так авторитетны, то почему вы здесь, а не там?!). Это исключительно ваш удел. Ибо громкие заявления - ваших уст дело. А поскольку с аргументацией собственных тезисов у вас слабовато, то скромное молчание с вашей стороны было бы более чем уместно.

Foss
Кажется уже одному объяснили всё доступно. Нужно каждому пояснять? Или Advanced Member не понимает слов Правила, Шапка, оффтопик и флуд? Переметнулись к нам пофлудить из темы Total Commander - так извините, Вам тут тоже не рады.

Если есть по существу, просьба о помощи - ждём логи. Если поболтать по теме - есть Тестирование. Если просто поболтать - есть Флейм.

Не тратьте своё и чужое время.

gjf
Конечно каждому, ибо реальных аргументов не слышно.
Кстати вам похоже не рады на любимом вами Вирусинфо, если вы переметнулись сюда.

Прошу помощи в следующей ситуации. Windows 2003 SP1 Standart . Проблемы:
1) Не работала сеть
2) "неожиданно завершен системный процесс services.exe с кодом состояния 128" с последующим отсчетом 1 минуты и перезагрузкой.
Сеть не работала из-за сбоя службы IPSEC. regsvr32 polstore.dll успешно востановило работу службы IPSEC и сеть заработала. вторая проблема осталась
Что было сделано:
а) http://support.microsoft.com/kb/318447 (хоть статья относится к Window 2000) был найден и удален один несуществующий общий ресурс в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Security
б) проверка из-под Drweb LiveCD - чисто
в) Проверка AVZ 4.32 с последними базами - чисто
г) проверка FixBlast.exe - чисто
д) поставлены (на всякий случай) 3 заплатки против кидо.
е) в AVZ явно левых процессов черного цвета нет.
ж) На компьютере установлен KAV for Server 6.0.3 с последними базами. Проверена директория C:\Windows - Чисто.

Логи прикрепляю. http://rghost.net/1548180 Вызывает определенное подозрение секция

Цитата:

\\?\globalroot\systemroot\system32\B8k0GD1.exe
Ключ реестра    HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
\\?\globalroot\systemroot\system32\cWBD8s3.exe
Ключ реестра    HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
\\?\globalroot\systemroot\system32\mY58F8k.exe
Ключ реестра    HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit

Переименовал userinit.exe в userinit.old, но после перезагрузки userinit.exe создался снова.

Mushroomer
Выполните скрипт AVZ:

Код: begin
SetAVZPMStatus(true);
RebootWindows(false);
end.

gjf
Цитата:

в прошлый раз Вы забыли virusinfo_syscure.zip

А черт. Я понял в чем была моя ошибка. Я выполнил не тот скрипт. Вместо скрипта "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" я выполнил "Скрипт сбора информации для раздела "Помогите!" virusinfo.info".

Цитата:

Если успеете в течение получаса - я ещё пробуду тут. Если нет - тогда уже завтра.

В любом случае завтра. Компьютер не дома.

Mushroomer
Там похоже на руткит, поэтому выполните то, что я написал. Потом будем думать дальше, как за один подход эту дрянь прибить.
Доброй ночи!

gjf
Сделал. Вот логи http://rghost.ru/1552849 и http://rghost.ru/1552856
Gmer запустился и через некоторое время аварийно закрылся. Лог не создался.

Mushroomer

Выполните скрипт в AVZ

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\mY58F8k.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\cWBD8s3.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\B8k0GD1.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\espCAA.tmp','');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\espCAA.tmp');
DeleteFile('\\?\globalroot\systemroot\system32\B8k0GD1.exe');
DeleteFile('\\?\globalroot\systemroot\system32\cWBD8s3.exe');
DeleteFile('\\?\globalroot\systemroot\system32\mY58F8k.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

thyrannosaurus
Цитата:

Сделайте новые логи (HiJack тоже)

А что с ними делать? Тоже отсылать?

Mushroomer
Да, еще раз логи выкладывайте

thyrannosaurus
Цитата:

Да, еще раз логи выкладывайте

http://rghost.ru/1553439
Правда, оба скрипта выполнялись при подключенном интернете, т.к. уже не было возможности отключить сеть, когда все заработало.

1. Запустите HijackThis.
2. В главном окне программы нужно нажать кнопочку "Do a system scan only".
3. В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix Checked". Затем следует перегрузить компьютер.

Код: F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\jktsqc2.exe,\\?\globalroot\systemroot\system32\afdvq0j.exe,\\?\globalroot\systemroot\system32\ae15cqw.exe,\\?\globalroot\systemroot\system32\ctd2n8y.exe,\\?\globalroot\systemroot\system32\jupvxfe.exe,\\?\globalroot\systemroot\system32\cWBD8s3.exe,\\?\globalroot\systemroot\system32\B8k0GD1.exe,\\?\globalroot\systemroot\system32\mY58F8k.exe,
O4 - HKLM\..\Run: [Generic Host for Win32 Services] 

Mushroomer
После действий, которые порекомендовал Вам thyrannosaurus, кроме обычных логов сделайте ещё лог с помощью VBA32 Antirootkit.
Vba32arkitLog.zip

thyrannosaurus
Цитата:

Код:
F2 - REG:system.ini:

Это приведено в информационных целях?

Цитата:

Сделайте новые логи

HiJack уже не нужен?

Mushroomer
Нет:

Цитата:

поставить галочки напротив указанных строк

Это - указанные строки.

Цитата:

HiJack уже не нужен?

Нужен. Полный комплект + VBA32.