gato 0 Опубликовано 29 ноября, 2008 Share Опубликовано 29 ноября, 2008 При запуска компьютера КИС-2009 сообщает, что C:\WINDOWS\file.bat содержит Trojan-Proxy.Win32.Small.vo и рекомендует лечение, требующее перезагрузки. Согласие и лечение ничего не дают, несмотря на многократные повторы. Прилагаю файлы результатов анализа с помощью AVZ и HijackThis virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis_log.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Олег777 559 Опубликовано 29 ноября, 2008 Share Опубликовано 29 ноября, 2008 Здравствуйте! Добро пожаловать на форум! Наши специалисты по AVZ скриптам обязательно Вам помогут! они в этом деле не одну "собаку" съели! Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 29 ноября, 2008 Share Опубликовано 29 ноября, 2008 (изменено) Мы собаками не питаемся AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\services.exe',''); DeleteFile('C:\WINDOWS\System32\Drivers\avperwqu.SYS'); DeleteFile('C:\WINDOWS\services.exe'); DeleteFile('C:\Program Files\MyCentria\InfoBar\MyCentriaInfoBar.dll'); BC_Activate; BC_ImportALL; ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Это Ваш провайдер? (вернее какой из них ваш ) O17 - HKLM\System\CCS\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130 O17 - HKLM\System\CCS\Services\Tcpip\..\{86DA7ED3-0760-4B35-AF2A-C8804C92A4B6}: NameServer = 10.104.40.199,10.100.18.199 O17 - HKLM\System\CCS\Services\Tcpip\..\{98873F98-CCEE-42B2-85D8-C21F64BAEB19}: NameServer = 212.188.4.10,195.34.32.116 O17 - HKLM\System\CS1\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130 O17 - HKLM\System\CS2\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130 Повторите логи Изменено 29 ноября, 2008 пользователем akoK Цитата Ссылка на сообщение Поделиться на другие сайты
gato 0 Опубликовано 29 ноября, 2008 Автор Share Опубликовано 29 ноября, 2008 Спасибо огромное, akoK! После выполнения первого скрипта и перезагрузки сообщение о трояне наконец-то не возникло. Полученный по втрому скрипту архив отправил по указанному адресу newvirus@kaspersky.com Но я не понял, что должен сделать с третьим кодом, который после вопроса о провайдере. И что значит - Повторите логи ?Извините, я не слишком продвинутый пользователь Мы собаками не питаемся AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\services.exe',''); DeleteFile('C:\WINDOWS\System32\Drivers\avperwqu.SYS'); DeleteFile('C:\WINDOWS\services.exe'); DeleteFile('C:\Program Files\MyCentria\InfoBar\MyCentriaInfoBar.dll'); BC_Activate; BC_ImportALL; ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Это Ваш провайдер? (вернее какой из них ваш ) O17 - HKLM\System\CCS\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130 O17 - HKLM\System\CCS\Services\Tcpip\..\{86DA7ED3-0760-4B35-AF2A-C8804C92A4B6}: NameServer = 10.104.40.199,10.100.18.199 O17 - HKLM\System\CCS\Services\Tcpip\..\{98873F98-CCEE-42B2-85D8-C21F64BAEB19}: NameServer = 212.188.4.10,195.34.32.116 O17 - HKLM\System\CS1\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130 O17 - HKLM\System\CS2\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130 Повторите логи Забыл добавить, что у меня 2 провайдера, akoK, - Корвет-телеком и МГТС по телефонной линии как дублирующая система при отказах на линии Корвета. Gato Спасибо огромное, akoK!После выполнения первого скрипта и перезагрузки сообщение о трояне наконец-то не возникло. Полученный по втрому скрипту архив отправил по указанному адресу newvirus@kaspersky.com Но я не понял, что должен сделать с третьим кодом, который после вопроса о провайдере. И что значит - Повторите логи ? Извините, я не слишком продвинутый пользователь Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 29 ноября, 2008 Share Опубликовано 29 ноября, 2008 Это значит выполнить правила заново и выложить результат сюда для контроля. Цитата Ссылка на сообщение Поделиться на другие сайты
gato 0 Опубликовано 30 ноября, 2008 Автор Share Опубликовано 30 ноября, 2008 Это значит выполнить правила заново и выложить результат сюда для контроля. Спасибо, Falcon! Собственно, я так и думал, но решил удостовериться. Правила повторил, результаты прилагаю. Можно ли теперь включить опцию Восстановление системных файлов? Провести перед этим дефрагментацию диска С или не надо? И что там за подозрение на вирус в одном из dll в Nero Vizion? Надо ли мне с этим что-то делать? Сказано, что этот файл успешно помещен в карантин. Gato virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.zip Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 30 ноября, 2008 Share Опубликовано 30 ноября, 2008 Чисто. Какие проблемы еще наблюдаются? Цитата Ссылка на сообщение Поделиться на другие сайты
gato 0 Опубликовано 30 ноября, 2008 Автор Share Опубликовано 30 ноября, 2008 Чисто. Какие проблемы еще наблюдаются? Спасибо еще раз. По части вирусов в данный момент КИС-2009 проблем не усматривает. Опцию Восстановление системных файлов на диске С уже включил. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.