помогите настроить работу ноута

[Rasputin]

ситуация: рабочий ноут, подключение к инету происходит крайне редко, - ввиду ненадобности (основная задача - работа в спец.программе, распечатка документов).

предположительно через флеху попал файлик под кодовым именем " sys.vbs " после чего все диски, включая флешки стали переименовываться под " pravat ". сам файлик присутствовал в каждой (или почтикаждой) рабочей папке.

после установки касперского антивируса 2010 (и конечно же обновления баз) ноут был "вычищен" от всех зловредных файликов. все вроде нормально работает, кроме как, при загрузке системы выбивает чето типа "чето не загружено, и это не будет работать/либо работать со сбоями, так как скрипт sys.vbs не найден"

 

Господа, каково Ваше мнение: это плохо или очень плохо?

[Marcos]

http://forum.kasperskyclub.ru/index.php?showtopic=1698

[ika-ilya]

Rasputin

Сделайте пожалуйста логи по правилам: http://forum.kasperskyclub.ru/index.php?showtopic=1698

[Rasputin]

Rasputin

Сделайте пожалуйста логи по правилам: http://forum.kasperskyclub.ru/index.php?showtopic=1698

 

 

не вопрос, - сделаю.

 

Вот рабочего дня дождусь, попаду в офис...

[strat]

Господа, каково Ваше мнение: это плохо или очень плохо?

Это не очень плохо. В системе осталась ссылка на запуск вредоноса но его уже нет, т.е. сделаете логи, вам напишут скрипт лечения/очистки и все будет нормально.

[EAlekseev]

чето не загружено, и это не будет работать/либо работать со сбоями, так как скрипт sys.vbs не найден"[/font]

Господа, каково Ваше мнение: это плохо или очень плохо?

Ничего страшного. Вероятнее всего, что антивирус тело вируса удалил, а ссылки на его запуск остались. Пройдитесь по папкам автозагрузки, файлам win.ini, system.ini и удалите ссылки на sys.vbs. Также обязательно пройдитесь поиском по реестру и удалите все упоминания данного скрипта.

 

P.S: Не понимаю, почему антивирус Лаборатории эти ссылки при удалении вирусов не чистит? Дело ведь пустяковое и у пользователей меньше вопросов бы возникало.

 

Сообщение от модератора thyrex

EAlekseev, давайте Вы не будете через 2 часа писать сообщения, которые не несут никакой новой информации, если сравнить с предыдущим сообщением

[Rasputin]

Ничего страшного. Вероятнее всего, что антивирус тело вируса удалил, а ссылки на его запуск остались. Пройдитесь по папкам автозагрузки, файлам win.ini, system.ini и удалите ссылки на sys.vbs. Также обязательно пройдитесь поиском по реестру и удалите все упоминания данного скрипта.

 

P.S: Не понимаю, почему антивирус Лаборатории эти ссылки при удалении вирусов не чистит? Дело ведь пустяковое и у пользователей меньше вопросов бы возникало.

 

EAlekseev, давайте Вы не будете через 2 часа писать сообщения, которые не несут никакой новой информации, если сравнить с предыдущим сообщением

 

 

 

щас сброшу нужные вам файлики.

 

Кстати поиск по регистру с помощью поиска скрипта по полному имени дал результаты. спс

Изменено 1 февраля, 2010 пользователем Rasputin

[snifer67]

Ждём...

[Rasputin]

вот файлики.

 

П.С.: замечание - винда не нашенская (англ.), при запуске AVZ, (который кстати тож запускается на англ.языке) потом "файл", потом "стандартные скрипты" пункт который №3 звучит немного иначе чем в русском варианте: "advanced system analysis with malware removal enabled" , тогда как в русском языке тот же пункт звучит "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info"! Все остальные пункт звучат аналогично (дословно) русским! надеюсь при этом ничего больше не меняется!

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[snifer67]

- Закройте/выгрузите все программы кроме Internet Explorer.

Отключите

- ПК от интернета/локальной сети.

 

- Пофиксить в HijackThis

O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

- ПК перезагрузите.

 

- Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

- ПК перезагрузится.

 

- Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

- Карантин отправьте на newvirus@kaspersky.com. В теле письма сообщите, что пароль на архив "virus"(без кавычек). Полученный ответ сообщите здесь.

- Сделайте новые логи.