Сейчас обсуждают

[LokoF@n]

Завелся вирус, в браузерах на каждой странице открывается банер: вчера был один, есть пример в архиве, сегодня другой уже(эро содержания):
Логи.rar
Антивирусной программкой от DrWeb проверял, ничего не нашла.

[Feo]

Пофиксите в HijackThis

Код

O20 - AppInit_DLLs: C:\Windows\system32\kgtjicl.dll

AVZ - Файл - Выполнить скрипт

Код

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
QuarantineFile('C:\Windows\system32\kgtjicl.dll','');
DeleteFile('C:\Windows\system32\kgtjicl.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните

Код

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке AVZ появится архив quarantine.zip, отошлите его на malware<at>russia.ru(<at> замените на @) или загрузите на файлообменник (ссылку в лс) - ОБЯЗАТЕЛЬНО!

Повторите лог AVZ (Скрипт №2, "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2) и прикрепите его к новому сообщению.

[LokoF@n]

Всё сделал, не помогло. Архив карантин отправил на мэйл.
вот лог 2го скрипта:
virusinfo_syscheck.zip

[Feo]

Такой лог сделайте http://forum.sibnet.ru/index.php?showtopic=332224 пункт 9.1 (лог полного сканирования MBAM)

[LokoF@n]

mbam-log-2011-06-24 (15-14-09).txt

[Feo]

В логе чисто. Узнал от коллег, что проблема с Trojan.Win32.Ddox.ci есть, т.е в системе вроде-бы все чисто, но троян до сих пор весит.

Давайте попробуем еще лог другой сделать.

Скачайте Universal Virus Sniffer (UVS) http://dsrt.dyndns.org/files/uvs_v364.zip
Распакуйте архив в отдельную папку на рабочий стол. Программу нужно запускать с правами администратора.
Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

[LokoF@n]

TEMKA-ПК_2011-06-24_16-22-54.rar

[Feo]

UPD. Есть новая информация и инструкция.

— Скачайте вот эту утилиту и распакуйте в любую папку.
— В блокнот скопируйте следующий текст и сохраните в ту же папку как script.bat

Код

TDSSKiller.exe -qmbr -qpath C:\MBR_Copy

— Запустите script.bat (Вы должны обладать правами Администратора)
— Скопируйте в C:\MBR_Copy файл С:\ntldr (скрытый и системный)
— Все содержимое папки C:\MBR_Copy заархивируйте в zip-архив и пришлите на почту, указанную ранее для карантина.

[LokoF@n]

Сделал, отправил, что дальше?

[Feo]

Пока, к сожалению, ждать. Это новый вид руткит-буткита Rootkit.Boot.Cidox. Конкретной пилюли пока не нашли. Напишу, как все более-менее будет ясно.

Для контроля, можно повторить лог (Скрипт №2, "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2) и прикрепить к сообщению.

Потому, как у некоторых он пропадает после первого скрипта, что я Вам писал, а у некоторых не вылечивается.

[LokoF@n]

Тогда еще одна проблема)
IE9 вообще страницы не открывает, а Мозила постоянно открывает исходный код сайта.

[Feo]

Тогда еще одна проблема)
IE9 вообще страницы не открывает, а Мозила постоянно открывает исходный код сайта.

Да, это от него, ибо функционирует, как перехватчик браузера.

Прошлый пост дополнил, прочтите.

[LokoF@n]

Ни с какого браузера не могу зайти в инет, выложить ничего не могу, в частности логи. Ни на файлы.сибнет ни на форум (Произошла ошибка при загрузке файла, в связи с тем, что папка /uploads/, в которую загружаются файлы, имеют некорректные права. Если вы получили эту ошибку, пожалуйста, напишите об этом администратору форума.)

Сообщение отредактировал LokoF@n - 24.6.2011, 22:00

[Feo]

1. Загрузитесь с системного диска и перейдите в режим Консоли Восстановления (Recovery Console)
2. Выполните команду:

Код

fixboot c:

3. Перезагрузите систему.

Подробнее о консоли восстановления
http://support.microsoft.com/kb/314058

[LokoF@n]

Ничего не понимаю, можно на "пальцах" обьяснить если можно? У меня Windows 7, что и куда нажимать нада

[Feo]

Желательно дать мне лог скрипта №2 до процедуры. Загрузить хоть куда.

Если нет установочного диска Win 7

Для того чтобы войти в меню Дополнительные варианты загрузки, нажмите F8 после включения компьютера (но до загрузки операционной системы).
Первым пунктом меню является Устранение неполадок компьютера - выберите его и нажмите клавишу Ввод. Запустится среда восстановления Windows, где первым делом вам будет предложено выбрать раскладку клавиатуры.
Выберите язык, на котором у вас задан пароль административной учетной записи, поскольку на следующем этапе его потребуется ввести.
После ввода пароля вы увидите окно с вариантами восстановления. Там выберите "Командная строка" и введите команду:

Код

Bootrec /FixBoot

Если есть диск с Win 7

Вставьте установочный диск в привод и перезагрузитесь (в BIOS необходимо установить приоритет загрузки с привода). Запустится программа установки Windows. На первом экране задайте языковые параметры, после чего вы увидите начальный экран установки Windows 7.
Щелкните ссылку Восстановление системы. Будет выполнена загрузка в Windows RE.


Выберите систему, которую вы хотите восстановить, установите переключатель Используйте средства восстановления... и нажмите кнопку Далее. Вы увидите окно с вариантами восстановления.
ам выберите "Командная строка" и введите команду:

Код

Bootrec /FixBoot

После всего проделанного, баннер должен исчезнуть.

[LokoF@n]

virusinfo_syscheck.zip
Пока еще не делал выше написанного, вот лог 2 скрипта сначала

[LokoF@n]

Не хватило терпения и сделал. Вроде всё нормально, баннер не выскакивает, браузеры открывают всё Спасибо огромное!

[Feo]

Все чисто, будьте здоровы!

Итого было обнаружено
Trojan.Win32.Vundo
Rootkit.Boot.Cidox