"Удалённый ПК пытается получить доступ"

[Игорьwerik]

Моё почтение!Проблемка в том,что сегодня утром,при подключении к сети,ПК выдал сообщение:Удалённый компьетер пытается получить доступ к Вашему компьютеру!Дело в том что такое в первый раз!Установлен Nod32,просканировал,чисто!Решил обратиться к Вам,уважаемые господа,как к специалистам! Проверте пожалуйста логи!

 

Сообщение от модератора akoK

Удалил карантин.

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 9 июля, 2010 пользователем akoK

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\msiexec.exe','');
QuarantineFile('C:\WINDOWS\system32\cmdow.exe','');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wscsvc', 'Start', 2);
BC_ImportQuarantineList;
BC_Activate;
ExecuteRepair(8);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Повторите логи. И лог HJT не забываем

Изменено 9 июля, 2010 пользователем akoK

[Игорьwerik]

Спасибо akoK,выполнил!Логи новые прилагаю,и заодно HJT!

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 9 июля, 2010 пользователем Игорьwerik

[MotherBoard]

выполните скрипт в AVZ

 

begin
ExecuteRepair(3);
ExecuteRepair(5);
RebootWindows(true);
end.

 

повторите лог: virusinfo_syscure.zip

Изменено 9 июля, 2010 пользователем akoK
убрал лишнюю команду

[akoK]

Игорьwerik, карантин продублируйте пожалуйста на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

[snifer67]

+ к вышесказанному.

 

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\vdiznzyw.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

[Игорьwerik]

akoK,snifer67,MotherBoard Спасибо за помощь!Но это будет завтра,я уже дома!Скажите пожалуйста,какой именно скрипт мне выполнять?

Хорошо akoKскину,с одним условием Вы мне скажите что это было, и скинете мне в личку,или на ящик!?Идёт!? (я точно не помню,но я вроди удалил архив,а если выполнить скрипт снова,архив создастся?)

Изменено 9 июля, 2010 пользователем Игорьwerik

[akoK]

Игорьwerik, нет... файлы то удалены поищите в исходящих сообщениях

[Игорьwerik]

Привет!Выполнил MotherBoard,snifer67!Логи прилагаю:

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[Roman_Five]

<удален вредный совет>

 

Рекомендуется удалить ПО, которое может конфликтовать

с установленным ESS:

- McAfee.

Если данные программы были ранее удалены некорректно,

можно воспользоваться специализированными утилитами

по очистке их следов с сайтов производителей данного ПО.

 

После проведённого лечения рекомендуется установить следующие обновления:

- откройте файл ScanVuln.txt;

- выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

- пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

- перезагрузите компьютер;

- повторно выполните скрипт и убедитесь, что уязвимости устранены.

 

приложите к новому сообщению файл

C:\WINDOWS\system32\linkdel.cmd

 

что с проблемой?

 

Сообщение от модератора akoK

В начале оптимизацию системы необходимо согласовать с пользователем.

Изменено 12 июля, 2010 пользователем akoK

[Игорьwerik]

Лечение провёл,конфликтующее ПО удалил!А вот скрипт не выполняется,выдаёт ошибки!Ошибка скрипта:BEGIN expected,позиция {1:1},и аналогично {9:1}А как согласовать оптимизацию системы с пользователем?

Изменено 12 июля, 2010 пользователем Игорьwerik

[Roman_Five]

А как согласовать оптимизацию системы с пользователем?

 

т.е. примерно так:

хотели ли Вы исправить это

9. Мастер поиска и устранения проблем

>> Обнаружен отладчик системного процесса

>> Заблокирована настройка автоматического обновления

>> Таймаут завершения процессов находится за пределами допустимых значений

>> Таймаут завершения служб находится за пределами допустимых значений

>> Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

ведь Вы опытный пользователь, и сами без труда разберётесь, что такое таймауты, локи полиси и т.д....

 

где файл cmd ?

[Игорьwerik]

Спасибо!Файл не загружает,запрещено!

Изменено 12 июля, 2010 пользователем Игорьwerik

[Roman_Five]

заархивируйте

[Игорьwerik]

LINKDEL.rar