CoRpSe13 0 Опубликовано 15 февраля, 2010 Share Опубликовано 15 февраля, 2010 (изменено) почитал мануал перед созданием темы, постарался все выполнить, имею на данный момент последний AVZ и полученные в нем два файла, HijackThis который не запускается run time error 50003 и скачаный переименованный архив 1 с той же ошибкой и GetSystemInfo все с той же ошибкой, поэтому пока что выложу 2 файла AVZ. PS. постоянно идет обращение к флоппи дисководу Изменено 16 февраля, 2010 пользователем CoRpSe13 Цитата Ссылка на сообщение Поделиться на другие сайты
lifestory 65 Опубликовано 15 февраля, 2010 Share Опубликовано 15 февраля, 2010 Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт): begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\t306046.dll',''); QuarantineFile('C:\WINDOWS\system32\t311023.dll',''); QuarantineFile('C:\WINDOWS\system32\t320067.dll',''); QuarantineFile('C:\WINDOWS\system32\t322044.dll',''); QuarantineFile('C:\WINDOWS\system32\t329143.dll',''); QuarantineFile('c:\windows\system32\appmgmts.dll',''); QuarantineFile('c:\windows\temp\1566.exe',''); DeleteFile('C:\WINDOWS\system32\t306046.dll'); DeleteFile('C:\WINDOWS\system32\t311023.dll'); DeleteFile('C:\WINDOWS\system32\t320067.dll'); DeleteFile('C:\WINDOWS\system32\t322044.dll'); DeleteFile('C:\WINDOWS\system32\t329143.dll'); DeleteFile('C:\WINDOWS\system32\1566.exe'); ExecuteSysClean; ExecuteRepair(9); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки пришлите попавшие в карантин файлы на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма После чего попробуйте сделать логи заного. Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 15 февраля, 2010 Share Опубликовано 15 февраля, 2010 - Закройте/выгрузите все программы кроме Internet Explorer. Отключите - ПК от интернета/локальной сети. - Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\Dbg32.Sys',''); DeleteFile('C:\Documents and Settings\NetworkService\Application Data\Dbg32.Sys'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{36341DC2-9E82-4F3A-BD91-92A15251AA0F}'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. - ПК перезагрузится. - Выполнить скрипт в AVZ. var qfolder: string; qname: string; begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false); end. Вы увидите папку с архивом. Это - карантин. - Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. - Сделайте новые логи. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
CoRpSe13 0 Опубликовано 15 февраля, 2010 Автор Share Опубликовано 15 февраля, 2010 (изменено) http://forum.kasperskyclub.ru/index.php?showtopic=1698 я конечно ничего не понимаю но вот тут написано, вот что ВАЖНО! В процессе консультирования и выполнения действий по "лечению" "зараженного" ПК, Вас могут попросить переслать архив с подозрительным (вредоносным) программным обеспечением найденным в вашей системе на newvirus@kaspersky.com. В исключительных случаях Вам могут предложить другой адрес для пересылки подобного архива только(!) следующие консультанты: ТроПа Гриша thyrex поэтому жду дальнейших указаний, или делать как livestory пишет? Изменено 15 февраля, 2010 пользователем CoRpSe13 Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 15 февраля, 2010 Share Опубликовано 15 февраля, 2010 Там написано кому можно присылать карантины.Можете выполнять два скрипта Цитата Ссылка на сообщение Поделиться на другие сайты
CoRpSe13 0 Опубликовано 15 февраля, 2010 Автор Share Опубликовано 15 февраля, 2010 я запутался, какой вариант выбрать то? Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 15 февраля, 2010 Share Опубликовано 15 февраля, 2010 (изменено) Выполняйте #2 и #3 сообщения. Изменено 15 февраля, 2010 пользователем snifer67 Цитата Ссылка на сообщение Поделиться на другие сайты
CoRpSe13 0 Опубликовано 15 февраля, 2010 Автор Share Опубликовано 15 февраля, 2010 итак я сделал вот что 1.выполнил скрипт из #2 и перезагрузил, получились файлы в папке C:\Documents and Settings\Admin\Рабочий стол\avz4\Quarantine 2. выполнил скрипт 2 из #3 и получил папку C:\Documents and Settings\Admin\Рабочий стол\Quarantine в которой создался запароленный архив quarantine.zip 3. отослал этот архив на newvirus@kaspersky.com c темой quarantine и пометкой в исьме что пароль на архив- virus что теперь делать? Цитата Ссылка на сообщение Поделиться на другие сайты
Black Angel 65 Опубликовано 15 февраля, 2010 Share Опубликовано 15 февраля, 2010 CoRpSe13 Сделайте новые логи. Цитата Ссылка на сообщение Поделиться на другие сайты
lifestory 65 Опубликовано 15 февраля, 2010 Share Опубликовано 15 февраля, 2010 итак я сделал вот что1.выполнил скрипт из #2 и перезагрузил, получились файлы в папке C:\Documents and Settings\Admin\Рабочий стол\avz4\Quarantine 2. выполнил скрипт 2 из #3 и получил папку C:\Documents and Settings\Admin\Рабочий стол\Quarantine в которой создался запароленный архив quarantine.zip 3. отослал этот архив на newvirus@kaspersky.com c темой quarantine и пометкой в исьме что пароль на архив- virus что теперь делать? Пока можете сделать повторно логи. После того как вам пришлют ответ по вашему карантину. Отпостите его здесь. Цитата Ссылка на сообщение Поделиться на другие сайты
CoRpSe13 0 Опубликовано 15 февраля, 2010 Автор Share Опубликовано 15 февраля, 2010 а я только смысл тогда от того что я отослал карантин не вижу Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 705 Опубликовано 15 февраля, 2010 Share Опубликовано 15 февраля, 2010 (изменено) а я только смысл тогда от того что я отослал карантин не вижу Если у вас в файле найдут вирус, которого нет в базах Касперского, то детект на него добавят. Изменено 15 февраля, 2010 пользователем Mark D. Pearlstone Цитата Ссылка на сообщение Поделиться на другие сайты
CoRpSe13 0 Опубликовано 15 февраля, 2010 Автор Share Опубликовано 15 февраля, 2010 (изменено) файлы Изменено 16 февраля, 2010 пользователем CoRpSe13 Цитата Ссылка на сообщение Поделиться на другие сайты
lifestory 65 Опубликовано 15 февраля, 2010 Share Опубликовано 15 февраля, 2010 (изменено) Вы выполняли Скрипты из сообщений 2 и 3? Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт): begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\t306046.dll',''); QuarantineFile('C:\WINDOWS\system32\t311023.dll',''); QuarantineFile('C:\WINDOWS\system32\t320067.dll',''); QuarantineFile('C:\WINDOWS\system32\t322044.dll',''); QuarantineFile('C:\WINDOWS\system32\t329143.dll',''); QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\Dbg32.Sys',''); DeleteFile('C:\WINDOWS\system32\t306046.dll'); DeleteFile('C:\WINDOWS\system32\t311023.dll'); DeleteFile('C:\WINDOWS\system32\t320067.dll'); DeleteFile('C:\WINDOWS\system32\t322044.dll'); DeleteFile('C:\WINDOWS\system32\t329143.dll'); DeleteFile('C:\Documents and Settings\NetworkService\Application Data\Dbg32.Sys'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{36341DC2-9E82-4F3A-BD91-92A15251AA0F}'); ExecuteSysClean; ExecuteRepair(9); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После выполните скрипт и сделайте логи заного begin DeleteFileMask(GetAVZDirectory + 'LOG', '*.*', true); RebootWindows(false); end. Изменено 15 февраля, 2010 пользователем liveStory Цитата Ссылка на сообщение Поделиться на другие сайты
CoRpSe13 0 Опубликовано 15 февраля, 2010 Автор Share Опубликовано 15 февраля, 2010 (изменено) 1 выполнил begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\t306046.dll',''); QuarantineFile('C:\WINDOWS\system32\t311023.dll',''); QuarantineFile('C:\WINDOWS\system32\t320067.dll',''); QuarantineFile('C:\WINDOWS\system32\t322044.dll',''); QuarantineFile('C:\WINDOWS\system32\t329143.dll',''); QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\Dbg32.Sys',''); DeleteFile('C:\WINDOWS\system32\t306046.dll'); DeleteFile('C:\WINDOWS\system32\t311023.dll'); DeleteFile('C:\WINDOWS\system32\t320067.dll'); DeleteFile('C:\WINDOWS\system32\t322044.dll'); DeleteFile('C:\WINDOWS\system32\t329143.dll'); DeleteFile('C:\Documents and Settings\NetworkService\Application Data\Dbg32.Sys'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{36341DC2-9E82-4F3A-BD91-92A15251AA0F}'); ExecuteSysClean; ExecuteRepair(9); RebootWindows(true); end. после перезагрузки касперский открылся и процесс C:\WINDOWS\system32\regsvr32.exe вылез желтым сообщением, что дальше делать, выполнять 2 скрипт или еще что то? Изменено 15 февраля, 2010 пользователем CoRpSe13 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.