Rasputin Опубликовано 29 января, 2010 Опубликовано 29 января, 2010 ситуация: рабочий ноут, подключение к инету происходит крайне редко, - ввиду ненадобности (основная задача - работа в спец.программе, распечатка документов). предположительно через флеху попал файлик под кодовым именем " sys.vbs " после чего все диски, включая флешки стали переименовываться под " pravat ". сам файлик присутствовал в каждой (или почтикаждой) рабочей папке. после установки касперского антивируса 2010 (и конечно же обновления баз) ноут был "вычищен" от всех зловредных файликов. все вроде нормально работает, кроме как, при загрузке системы выбивает чето типа "чето не загружено, и это не будет работать/либо работать со сбоями, так как скрипт sys.vbs не найден" Господа, каково Ваше мнение: это плохо или очень плохо?
Marcos Опубликовано 29 января, 2010 Опубликовано 29 января, 2010 http://forum.kasperskyclub.ru/index.php?showtopic=1698
ika-ilya Опубликовано 29 января, 2010 Опубликовано 29 января, 2010 Rasputin Сделайте пожалуйста логи по правилам: http://forum.kasperskyclub.ru/index.php?showtopic=1698
Rasputin Опубликовано 31 января, 2010 Автор Опубликовано 31 января, 2010 RasputinСделайте пожалуйста логи по правилам: http://forum.kasperskyclub.ru/index.php?showtopic=1698 не вопрос, - сделаю. Вот рабочего дня дождусь, попаду в офис...
strat Опубликовано 31 января, 2010 Опубликовано 31 января, 2010 Господа, каково Ваше мнение: это плохо или очень плохо? Это не очень плохо. В системе осталась ссылка на запуск вредоноса но его уже нет, т.е. сделаете логи, вам напишут скрипт лечения/очистки и все будет нормально.
EAlekseev Опубликовано 31 января, 2010 Опубликовано 31 января, 2010 чето не загружено, и это не будет работать/либо работать со сбоями, так как скрипт sys.vbs не найден"[/font]Господа, каково Ваше мнение: это плохо или очень плохо? Ничего страшного. Вероятнее всего, что антивирус тело вируса удалил, а ссылки на его запуск остались. Пройдитесь по папкам автозагрузки, файлам win.ini, system.ini и удалите ссылки на sys.vbs. Также обязательно пройдитесь поиском по реестру и удалите все упоминания данного скрипта. P.S: Не понимаю, почему антивирус Лаборатории эти ссылки при удалении вирусов не чистит? Дело ведь пустяковое и у пользователей меньше вопросов бы возникало. Сообщение от модератора thyrex EAlekseev, давайте Вы не будете через 2 часа писать сообщения, которые не несут никакой новой информации, если сравнить с предыдущим сообщением
Rasputin Опубликовано 1 февраля, 2010 Автор Опубликовано 1 февраля, 2010 (изменено) Ничего страшного. Вероятнее всего, что антивирус тело вируса удалил, а ссылки на его запуск остались. Пройдитесь по папкам автозагрузки, файлам win.ini, system.ini и удалите ссылки на sys.vbs. Также обязательно пройдитесь поиском по реестру и удалите все упоминания данного скрипта. P.S: Не понимаю, почему антивирус Лаборатории эти ссылки при удалении вирусов не чистит? Дело ведь пустяковое и у пользователей меньше вопросов бы возникало. EAlekseev, давайте Вы не будете через 2 часа писать сообщения, которые не несут никакой новой информации, если сравнить с предыдущим сообщением щас сброшу нужные вам файлики. Кстати поиск по регистру с помощью поиска скрипта по полному имени дал результаты. спс Изменено 1 февраля, 2010 пользователем Rasputin
Rasputin Опубликовано 1 февраля, 2010 Автор Опубликовано 1 февраля, 2010 вот файлики. П.С.: замечание - винда не нашенская (англ.), при запуске AVZ, (который кстати тож запускается на англ.языке) потом "файл", потом "стандартные скрипты" пункт который №3 звучит немного иначе чем в русском варианте: "advanced system analysis with malware removal enabled" , тогда как в русском языке тот же пункт звучит "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info"! Все остальные пункт звучат аналогично (дословно) русским! надеюсь при этом ничего больше не меняется! hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip
snifer67 Опубликовано 2 февраля, 2010 Опубликовано 2 февраля, 2010 - Закройте/выгрузите все программы кроме Internet Explorer. Отключите - ПК от интернета/локальной сети. - Пофиксить в HijackThis O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe - ПК перезагрузите. - Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\csrcs.exe',''); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. - ПК перезагрузится. - Выполнить скрипт в AVZ. var qfolder: string; qname: string; begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false); end. Вы увидите папку с архивом. Это - карантин. - Карантин отправьте на newvirus@kaspersky.com. В теле письма сообщите, что пароль на архив "virus"(без кавычек). Полученный ответ сообщите здесь. - Сделайте новые логи.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти