Перейти к содержанию
Правила раздела

помогите настроить работу ноута

Rasputin

От Rasputin
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Rasputin Постоялец

Rasputin

Опубликовано
Опубликовано

ситуация: рабочий ноут, подключение к инету происходит крайне редко, - ввиду ненадобности (основная задача - работа в спец.программе, распечатка документов).

предположительно через флеху попал файлик под кодовым именем " sys.vbs " после чего все диски, включая флешки стали переименовываться под " pravat ". сам файлик присутствовал в каждой (или почтикаждой) рабочей папке.

после установки касперского антивируса 2010 (и конечно же обновления баз) ноут был "вычищен" от всех зловредных файликов. все вроде нормально работает, кроме как, при загрузке системы выбивает чето типа "чето не загружено, и это не будет работать/либо работать со сбоями, так как скрипт sys.vbs не найден"

 

Господа, каково Ваше мнение: это плохо или очень плохо?

Ссылка на комментарий
Поделиться на другие сайты
Rasputin Постоялец

Rasputin

Опубликовано
  • Автор
Опубликовано
Rasputin

Сделайте пожалуйста логи по правилам: http://forum.kasperskyclub.ru/index.php?showtopic=1698

 

 

не вопрос, - сделаю.

 

Вот рабочего дня дождусь, попаду в офис...

Ссылка на комментарий
Поделиться на другие сайты
strat Продвинутый

strat

Опубликовано
Опубликовано
Господа, каково Ваше мнение: это плохо или очень плохо?
Это не очень плохо. В системе осталась ссылка на запуск вредоноса но его уже нет, т.е. сделаете логи, вам напишут скрипт лечения/очистки и все будет нормально.
Ссылка на комментарий
Поделиться на другие сайты
EAlekseev Ветеран

EAlekseev

Опубликовано
Опубликовано
чето не загружено, и это не будет работать/либо работать со сбоями, так как скрипт sys.vbs не найден"[/font]

Господа, каково Ваше мнение: это плохо или очень плохо?

Ничего страшного. Вероятнее всего, что антивирус тело вируса удалил, а ссылки на его запуск остались. Пройдитесь по папкам автозагрузки, файлам win.ini, system.ini и удалите ссылки на sys.vbs. Также обязательно пройдитесь поиском по реестру и удалите все упоминания данного скрипта.

 

P.S: Не понимаю, почему антивирус Лаборатории эти ссылки при удалении вирусов не чистит? ;) Дело ведь пустяковое и у пользователей меньше вопросов бы возникало.

 

Сообщение от модератора thyrex
EAlekseev, давайте Вы не будете через 2 часа писать сообщения, которые не несут никакой новой информации, если сравнить с предыдущим сообщением
Ссылка на комментарий
Поделиться на другие сайты
Rasputin Постоялец

Rasputin

Опубликовано
  • Автор
Опубликовано (изменено)
Ничего страшного. Вероятнее всего, что антивирус тело вируса удалил, а ссылки на его запуск остались. Пройдитесь по папкам автозагрузки, файлам win.ini, system.ini и удалите ссылки на sys.vbs. Также обязательно пройдитесь поиском по реестру и удалите все упоминания данного скрипта.

 

P.S: Не понимаю, почему антивирус Лаборатории эти ссылки при удалении вирусов не чистит? :lol: Дело ведь пустяковое и у пользователей меньше вопросов бы возникало.

 

EAlekseev, давайте Вы не будете через 2 часа писать сообщения, которые не несут никакой новой информации, если сравнить с предыдущим сообщением

 

 

 

щас сброшу нужные вам файлики.

 

Кстати поиск по регистру с помощью поиска скрипта по полному имени дал результаты. спс

Изменено пользователем Rasputin
Ссылка на комментарий
Поделиться на другие сайты
Rasputin Постоялец

Rasputin

Опубликовано
  • Автор
Опубликовано

вот файлики.

 

П.С.: замечание - винда не нашенская (англ.), при запуске AVZ, (который кстати тож запускается на англ.языке) потом "файл", потом "стандартные скрипты" пункт который №3 звучит немного иначе чем в русском варианте: "advanced system analysis with malware removal enabled" , тогда как в русском языке тот же пункт звучит "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info"! Все остальные пункт звучат аналогично (дословно) русским! надеюсь при этом ничего больше не меняется!

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
snifer67 Ветеран

snifer67

Опубликовано
Опубликовано

- Закройте/выгрузите все программы кроме Internet Explorer.

Отключите

- ПК от интернета/локальной сети.

 

- Пофиксить в HijackThis

O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

- ПК перезагрузите.

 

- Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

- ПК перезагрузится.

 

- Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

- Карантин отправьте на newvirus@kaspersky.com. В теле письма сообщите, что пароль на архив "virus"(без кавычек). Полученный ответ сообщите здесь.

- Сделайте новые логи.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • wadim1904
      Работа с госулугами
      От wadim1904
      На компьютерах с kaspersky endpoint security 10 при открытии сайта Госуслуги нет значка ГОСТ (картинка приложена). Как я понял из-за того, что касперский использует свой корневой центр для проверки сертификатов.
      Как отключить эту функцию?

    • Alex161
      Помогите с трояном
      От Alex161
      Что ж, скачал игру, поймал постоянную работу вентилятора и нагрузку, удалял, лечил, что только не делал все бестолку, после перезагрузки снова появляется...мучаюсь вторые сутки, умоляю, помогите
      avz_log.txt
    • Elly
      Вопросы к администрации по работе форума
      От Elly
      Вопросы по работе форума следует писать сюда. Вопросы по модерированию, согласно правилам, сюда писать не следует.
      Ответ можно получить только на вопрос, который грамотно сформулирован и не нарушает правил\устава форума.
    • lion6705
      [РЕШЕНО] Помогите с fixlist для FRST
      От lion6705
      Столкнулся с проблемой в виде замедления работы пк и замедление работы интернета так же иногда пк выключался в любой момент для решения проблемы решил использовать dr.web curelt появился файл с отметкой dialer.exe и надписью угроза NET:MALWARE.URL если бы он сразу удалился не начал искать способы убрать его в ручную но спустя 2 повторных проверки один и тот же исход а именно при устранение угрозы произошла ошибка
      Полез искать решение на ютубе и нашёл советовали использовать frst для того чтобы избавиться от любого вируса и вроде бы всё сделал но появилась новая проблема когда я попытался нажать исправить мне написалась что файла fixlist нету хотя я вроде бы (возможно не так) поэтому я пишу это сообщение чтобы узнать верно ли я всё сделал и те ли файлы пометил чтобы исправить их и избавиться от вируса 




      fixlist.txt.txt
      Addition_05-01-2025 20.19.18.txtFRST_05-01-2025 20.14.51.txt
       
       
      fixlist.txt.txt
    • Zakhar62668
      Помогите удалить вирус
      От Zakhar62668
      Виндоус дефендер находит постоянно трояны, но удалить не может, также пытался установить разные антивирусы, но все они не запускаются, вылетают ошибки, а также в исключениях есть файлы, которые не удаляются. Сейчас, посмотрев форум, запустил компьютер в безопасном режиме и через флешку установил фарбар рекавери скан тулс(чтоб запустить его пришлось удалить ограничения в редакторе реестра)
×
×
  • Создать...