gato Опубликовано 29 ноября, 2008 Поделиться Опубликовано 29 ноября, 2008 При запуска компьютера КИС-2009 сообщает, что C:\WINDOWS\file.bat содержит Trojan-Proxy.Win32.Small.vo и рекомендует лечение, требующее перезагрузки. Согласие и лечение ничего не дают, несмотря на многократные повторы. Прилагаю файлы результатов анализа с помощью AVZ и HijackThis virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis_log.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Олег777 Опубликовано 29 ноября, 2008 Поделиться Опубликовано 29 ноября, 2008 Здравствуйте! Добро пожаловать на форум! Наши специалисты по AVZ скриптам обязательно Вам помогут! они в этом деле не одну "собаку" съели! Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 29 ноября, 2008 Поделиться Опубликовано 29 ноября, 2008 (изменено) Мы собаками не питаемся AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\services.exe',''); DeleteFile('C:\WINDOWS\System32\Drivers\avperwqu.SYS'); DeleteFile('C:\WINDOWS\services.exe'); DeleteFile('C:\Program Files\MyCentria\InfoBar\MyCentriaInfoBar.dll'); BC_Activate; BC_ImportALL; ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Это Ваш провайдер? (вернее какой из них ваш ) O17 - HKLM\System\CCS\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130 O17 - HKLM\System\CCS\Services\Tcpip\..\{86DA7ED3-0760-4B35-AF2A-C8804C92A4B6}: NameServer = 10.104.40.199,10.100.18.199 O17 - HKLM\System\CCS\Services\Tcpip\..\{98873F98-CCEE-42B2-85D8-C21F64BAEB19}: NameServer = 212.188.4.10,195.34.32.116 O17 - HKLM\System\CS1\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130 O17 - HKLM\System\CS2\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130 Повторите логи Изменено 29 ноября, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
gato Опубликовано 29 ноября, 2008 Автор Поделиться Опубликовано 29 ноября, 2008 Спасибо огромное, akoK! После выполнения первого скрипта и перезагрузки сообщение о трояне наконец-то не возникло. Полученный по втрому скрипту архив отправил по указанному адресу newvirus@kaspersky.com Но я не понял, что должен сделать с третьим кодом, который после вопроса о провайдере. И что значит - Повторите логи ?Извините, я не слишком продвинутый пользователь Мы собаками не питаемся AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\services.exe',''); DeleteFile('C:\WINDOWS\System32\Drivers\avperwqu.SYS'); DeleteFile('C:\WINDOWS\services.exe'); DeleteFile('C:\Program Files\MyCentria\InfoBar\MyCentriaInfoBar.dll'); BC_Activate; BC_ImportALL; ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Это Ваш провайдер? (вернее какой из них ваш ) O17 - HKLM\System\CCS\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130 O17 - HKLM\System\CCS\Services\Tcpip\..\{86DA7ED3-0760-4B35-AF2A-C8804C92A4B6}: NameServer = 10.104.40.199,10.100.18.199 O17 - HKLM\System\CCS\Services\Tcpip\..\{98873F98-CCEE-42B2-85D8-C21F64BAEB19}: NameServer = 212.188.4.10,195.34.32.116 O17 - HKLM\System\CS1\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130 O17 - HKLM\System\CS2\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130 Повторите логи Забыл добавить, что у меня 2 провайдера, akoK, - Корвет-телеком и МГТС по телефонной линии как дублирующая система при отказах на линии Корвета. Gato Спасибо огромное, akoK!После выполнения первого скрипта и перезагрузки сообщение о трояне наконец-то не возникло. Полученный по втрому скрипту архив отправил по указанному адресу newvirus@kaspersky.com Но я не понял, что должен сделать с третьим кодом, который после вопроса о провайдере. И что значит - Повторите логи ? Извините, я не слишком продвинутый пользователь Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 29 ноября, 2008 Поделиться Опубликовано 29 ноября, 2008 Это значит выполнить правила заново и выложить результат сюда для контроля. Ссылка на комментарий Поделиться на другие сайты Поделиться
gato Опубликовано 30 ноября, 2008 Автор Поделиться Опубликовано 30 ноября, 2008 Это значит выполнить правила заново и выложить результат сюда для контроля. Спасибо, Falcon! Собственно, я так и думал, но решил удостовериться. Правила повторил, результаты прилагаю. Можно ли теперь включить опцию Восстановление системных файлов? Провести перед этим дефрагментацию диска С или не надо? И что там за подозрение на вирус в одном из dll в Nero Vizion? Надо ли мне с этим что-то делать? Сказано, что этот файл успешно помещен в карантин. Gato virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 30 ноября, 2008 Поделиться Опубликовано 30 ноября, 2008 Чисто. Какие проблемы еще наблюдаются? Ссылка на комментарий Поделиться на другие сайты Поделиться
gato Опубликовано 30 ноября, 2008 Автор Поделиться Опубликовано 30 ноября, 2008 Чисто. Какие проблемы еще наблюдаются? Спасибо еще раз. По части вирусов в данный момент КИС-2009 проблем не усматривает. Опцию Восстановление системных файлов на диске С уже включил. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти