Tatyana Опубликовано 27 июля, 2008 Поделиться Опубликовано 27 июля, 2008 (изменено) Здравствуйте! У меня такая проблема. У меня есть сайт: Последние два дня при загрузке главной страницы у меня в загрузке мелькают посторонние серверы, которых не должно быть, и на одном из них Каспер бьет тревогу и сообщает, что оттуда пытается установиться вирус. Скажите, что можно с этим сделать? Я присоединяю скрин отчета Касперского. Тот адрес, откуда у меня приходит этот вирус, загружается на сайте. Почему это происходит и как это можно убрать? Заодно логи, только их три, потому что я выполняла по условиям форума ЛК. Может кто-нибудь проверить мои логи? Мне кажется, когда я администрировала сайт, это само вписалось именно откуда-то с моего компа. Мне администратор сервера все почистил, я вошла, и снова вписались эти коды. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.zip Изменено 27 июля, 2008 пользователем Kapral Капрал: Удалил ссылку 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Максим Опубликовано 27 июля, 2008 Поделиться Опубликовано 27 июля, 2008 (изменено) Выполните скрипты в AVZ в следующем порядке: 1. begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\cssdll32.dll',''); QuarantineFile('C:\WINDOWS\system32\basealfw32.dll',''); DeleteFile('C:\WINDOWS\system32\cssdll32.dll'); BC_ImportALL; BC_DeleteSvc('glok+80c-359b'); BC_Activate; ExecuteSysClean; RebootWindows(true); end. 2. function _DecHex( Dc : Integer) : String; begin Result := Copy('0123456789abcdef',Dc+1,1); end; function DecHex( Dec : Integer) : String; var Di,D1,D2 : integer; begin Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end; If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2); end; procedure ParseString (S : TStringList; SS : String; SSS : String ); var i,l : integer; begin i := Pos(SSS,SS); l := Length(ss); If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end; end; var SL,SF : TStringList; SS, SSS : String; i : integer; begin SS := ''; SSS := ''; SL := TStringList.Create; SF := TStringList.Create; SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows'); ParseString (SL,SS,' '); for i := 0 to SL.Count - 1 do Begin SS := SL[i]; If Pos('ServerDll=base',SS) > 0 Then Begin If SS <> 'ServerDll=basesrv,1' Then Begin AddToLog('Infected "SubSystem" value : ' + SS); if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end; end; end; end; SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end; If SSS <> '' Then Begin i := Pos(',',SSS); If i = 0 Then i := Length(SSS); SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1); AddToLog('Infection name : ' + SSS + '.dll'); SetAVZGuardStatus(True); If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll'); SF.Add('REGEDIT4'); SF.Add(''); SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]'); SSS := '"Windows"=hex(2):'; for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ','; SSS := SSS + '00'; SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg'); ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true); SaveLog(GetAVZDirectory + 'SubSystems.log'); RebootWindows(false); end; SL.Free; SF.Free; End. Пофиксите в HijackThis F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll C:\WINDOWS\system32\cssdll32.dll AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера". Повторите логи. Прикрепите также SubSystems.log из папки AVZ. Изменено 27 июля, 2008 пользователем Maxim_VInfo Ссылка на комментарий Поделиться на другие сайты Поделиться
Tatyana Опубликовано 27 июля, 2008 Автор Поделиться Опубликовано 27 июля, 2008 (изменено) Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера". Можете объяснить поподробнее, как мне их пометить и пофиксить и что дальше. Это все в этой же проге? Кстати, я после этого удалила одну прогу и почистила реестр. Это ничего? Изменено 27 июля, 2008 пользователем Tatyana Ссылка на комментарий Поделиться на другие сайты Поделиться
Максим Опубликовано 27 июля, 2008 Поделиться Опубликовано 27 июля, 2008 http://forum.kasperskyclub.ru/index.php?showtopic=5087 Кстати, я после этого удалила одну прогу и почистила реестр. Это ничего? Какую? Ссылка на комментарий Поделиться на другие сайты Поделиться
Tatyana Опубликовано 27 июля, 2008 Автор Поделиться Опубликовано 27 июля, 2008 Поняла! А то, что я реестр чистила, не повлияет? Или лучше логи еще раз сделать? Какую? Total Commander. Еще хочу COMODO удалить (это firewall). Мне кажется, что-то сидит в нем. Я выполнила оба кода, а второй как-то быстро. Я только нажала "Запустить", и мне тут же написали, что скрипт выполнен без ошибок. Все нормально? Ссылка на комментарий Поделиться на другие сайты Поделиться
Максим Опубликовано 27 июля, 2008 Поделиться Опубликовано 27 июля, 2008 (изменено) Total Commander. Еще хочу COMODO удалить (это firewall). Мне кажется, что-то сидит в нем.Зачем? Изменено 28 июля, 2008 пользователем Maxim_VInfo Ссылка на комментарий Поделиться на другие сайты Поделиться
Tatyana Опубликовано 27 июля, 2008 Автор Поделиться Опубликовано 27 июля, 2008 (изменено) Просто когда я выключаю Comodo, я без проблем захожу в админку и никаких таких ссылок не остается. С Comodo остаются ссылки. AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. А как пометить и пофиксить в AVZ? У меня он выдал такие проблемы: 1. Разрешен автозапуск с HDD 2. Разрешен автозапуск с сетевых дисков 3. Разрешен автозапуск с CD-ROM 4. Разрешен автозапуск со сменных носителей 5. Отключено восстановление системы (Windows Update) Так. Со всем разобралась, а вот с повторными логами не получается. Происходит ошибка при создании карантина. Буду пробовать еще. Изменено 27 июля, 2008 пользователем Tatyana Ссылка на комментарий Поделиться на другие сайты Поделиться
Максим Опубликовано 27 июля, 2008 Поделиться Опубликовано 27 июля, 2008 Какого карантина? Ссылка на комментарий Поделиться на другие сайты Поделиться
Tatyana Опубликовано 27 июля, 2008 Автор Поделиться Опубликовано 27 июля, 2008 (изменено) Какого карантина? AVZ написал "Сбор карантина" или что-то такое, потом появилось окно с каким-то адресом... Просто я уже делала логи, и не убрала из той папки старые отчеты. Наверное, поэтому что-то сбойнуло. Вот новые логи, а как сделать SubSystems.log? У меня такого не получилось. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.zip Изменено 27 июля, 2008 пользователем Tatyana Ссылка на комментарий Поделиться на другие сайты Поделиться
Максим Опубликовано 27 июля, 2008 Поделиться Опубликовано 27 июля, 2008 как сделать SubSystems.log?Он уже должен быть готов. Посмотрите в папке с AVZ. Ссылка на комментарий Поделиться на другие сайты Поделиться
Tatyana Опубликовано 27 июля, 2008 Автор Поделиться Опубликовано 27 июля, 2008 Он уже должен быть готов. Посмотрите в папке с AVZ. Нет, такого нет. Вот, что у меня в папке логов. Ссылка на комментарий Поделиться на другие сайты Поделиться
Максим Опубликовано 27 июля, 2008 Поделиться Опубликовано 27 июля, 2008 Он не должен быть среди логов. Он должен быть в папке AVZ! Ссылка на комментарий Поделиться на другие сайты Поделиться
Tatyana Опубликовано 27 июля, 2008 Автор Поделиться Опубликовано 27 июля, 2008 Он должен быть в папке AVZ! В AVZ его тоже нет. И я столько раз уже сканила с помощью AVZ - у меня ничего такого не было. Ссылка на комментарий Поделиться на другие сайты Поделиться
Максим Опубликовано 27 июля, 2008 Поделиться Опубликовано 27 июля, 2008 Покажите содержимое папки. Ссылка на комментарий Поделиться на другие сайты Поделиться
Tatyana Опубликовано 27 июля, 2008 Автор Поделиться Опубликовано 27 июля, 2008 Покажите содержимое папки. Хорошо. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти