Странные вещи происходят на моем сайте

[Tatyana]

Здравствуйте!

У меня такая проблема. У меня есть сайт:

Последние два дня при загрузке главной страницы у меня в загрузке мелькают посторонние серверы, которых не должно быть, и на одном из них Каспер бьет тревогу и сообщает, что оттуда пытается установиться вирус.

Скажите, что можно с этим сделать? Я присоединяю скрин отчета Касперского. Тот адрес, откуда у меня приходит этот вирус, загружается на сайте. Почему это происходит и как это можно убрать?

 

Заодно логи, только их три, потому что я выполняла по условиям форума ЛК.

 

Может кто-нибудь проверить мои логи? Мне кажется, когда я администрировала сайт, это само вписалось именно откуда-то с моего компа. Мне администратор сервера все почистил, я вошла, и снова вписались эти коды.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

Изменено 27 июля, 2008 пользователем Kapral
Капрал: Удалил ссылку

[Максим]

Выполните скрипты в AVZ в следующем порядке:

1.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\cssdll32.dll','');
QuarantineFile('C:\WINDOWS\system32\basealfw32.dll','');
DeleteFile('C:\WINDOWS\system32\cssdll32.dll');  
BC_ImportALL;
BC_DeleteSvc('glok+80c-359b');	 
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

2.

function _DecHex( Dc : Integer) : String;
begin Result := Copy('0123456789abcdef',Dc+1,1); end;
function DecHex( Dec : Integer) : String;
var Di,D1,D2 : integer;
begin
Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);
end;
procedure ParseString (S : TStringList; SS : String; SSS : String );
var i,l : integer;
begin
 i := Pos(SSS,SS); l := Length(ss);
 If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
 s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
end;
var SL,SF : TStringList; SS, SSS : String; i : integer;
begin
SS := '';  SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
ParseString (SL,SS,' ');
for i := 0 to SL.Count - 1 do Begin
  SS := SL[i];
  If Pos('ServerDll=base',SS) > 0 Then Begin
 If SS <> 'ServerDll=basesrv,1' Then Begin
 AddToLog('Infected "SubSystem" value : ' + SS);
 if MessageDLG('Fix "SybSustem" parametrs  ?', mtConfirmation, mbYes+mbNo, 0) = 6 then  Begin
 SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
 end;
 end;
end;
SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
If SSS <> '' Then Begin
 i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
 SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
 AddToLog('Infection name : ' + SSS + '.dll');
 SetAVZGuardStatus(True);
 If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
 SF.Add('REGEDIT4'); SF.Add('');
 SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
 SSS := '"Windows"=hex(2):';
 for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ',';
 SSS := SSS + '00';  SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
 ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
 SaveLog(GetAVZDirectory + 'SubSystems.log');
 RebootWindows(false);
end;
SL.Free; SF.Free;
End.

Пофиксите в HijackThis

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - AppInit_DLLs:  C:\WINDOWS\system32\guard32.dll C:\WINDOWS\system32\cssdll32.dll

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

 

Повторите логи. Прикрепите также SubSystems.log из папки AVZ.

Изменено 27 июля, 2008 пользователем Maxim_VInfo

[Tatyana]

Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Можете объяснить поподробнее, как мне их пометить и пофиксить и что дальше. Это все в этой же проге?

 

Кстати, я после этого удалила одну прогу и почистила реестр. Это ничего?

Изменено 27 июля, 2008 пользователем Tatyana

[Максим]

http://forum.kasperskyclub.ru/index.php?showtopic=5087

 

Кстати, я после этого удалила одну прогу и почистила реестр. Это ничего?

Какую?

[Tatyana]

Поняла! А то, что я реестр чистила, не повлияет? Или лучше логи еще раз сделать?

 

Какую?

Total Commander. Еще хочу COMODO удалить (это firewall). Мне кажется, что-то сидит в нем.

 

Я выполнила оба кода, а второй как-то быстро. Я только нажала "Запустить", и мне тут же написали, что скрипт выполнен без ошибок. Все нормально?

[Максим]

Total Commander. Еще хочу COMODO удалить (это firewall). Мне кажется, что-то сидит в нем.

Зачем? Изменено 28 июля, 2008 пользователем Maxim_VInfo

[Tatyana]

Просто когда я выключаю Comodo, я без проблем захожу в админку и никаких таких ссылок не остается. С Comodo остаются ссылки.

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить.

А как пометить и пофиксить в AVZ? У меня он выдал такие проблемы:

1. Разрешен автозапуск с HDD

2. Разрешен автозапуск с сетевых дисков

3. Разрешен автозапуск с CD-ROM

4. Разрешен автозапуск со сменных носителей

5. Отключено восстановление системы (Windows Update)

 

Так. Со всем разобралась, а вот с повторными логами не получается. Происходит ошибка при создании карантина. Буду пробовать еще.

Изменено 27 июля, 2008 пользователем Tatyana

[Максим]

Какого карантина?

[Tatyana]

Какого карантина?

AVZ написал "Сбор карантина" или что-то такое, потом появилось окно с каким-то адресом... Просто я уже делала логи, и не убрала из той папки старые отчеты. Наверное, поэтому что-то сбойнуло. Вот новые логи, а как сделать SubSystems.log? У меня такого не получилось.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

Изменено 27 июля, 2008 пользователем Tatyana

[Максим]

как сделать SubSystems.log?

Он уже должен быть готов. Посмотрите в папке с AVZ.

[Tatyana]

Он уже должен быть готов. Посмотрите в папке с AVZ.

Нет, такого нет. Вот, что у меня в папке логов.

[Максим]

Он не должен быть среди логов. Он должен быть в папке AVZ!

[Tatyana]

Он должен быть в папке AVZ!

В AVZ его тоже нет. И я столько раз уже сканила с помощью AVZ - у меня ничего такого не было.

[Максим]

Покажите содержимое папки.

[Tatyana]

Покажите содержимое папки.

Хорошо.