[решено] Борьба с вирусами

regist · Отправлено: **14:45, 19-04-2012** | #2

Здравствуйте. Сейчас посмотрю логи.

Сделайте лог OSAM

Цитата:

9. Мастер поиска и устранения проблем
>> Заблокирована возможность подключения и отключения сетевых дисков
>> Меню Пуск - заблокированы элементы
>> Таймаут завершения процессов находится за пределами допустимых значений
>> Таймаут завершения служб находится за пределами допустимых значений
>> Заблокирован пункт меню Справка и техподдержка

это вы изменили или исправлять ?

regist · Отправлено: **15:19, 19-04-2012** | #3

Отключите антивирус/фаервол, интернет;

Выполните скрипт в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\TEMP\{DCCE736C-5668-46D1-A3D5-B748D6ACDA0F}.wsf',' ');
 DeleteFile('C:\WINDOWS\TEMP\{DCCE736C-5668-46D1-A3D5-B748D6ACDA0F}.wsf');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\KPeerNexonEU');
 QuarantineFile('C:\WINDOWS\SET4.tmp',' ');
 QuarantineFile('C:\WINDOWS\SET3.tmp',' ');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','e59151bf93d1a6e6095af43086e334b6d32cda1d3e46');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','{DCCE736C-5668-46D1-A3D5-B748D6ACDA0F}');
BC_ImportAll;
ExecuteRepair(9);
ExecuteWizard('SCU',2,3,true);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

Kinqui · Отправлено: **16:14, 19-04-2012** | #4

Цитата regist:

Здравствуйте. Сейчас посмотрю логи.
http://safezone.cc/forum/showthread.php?t=4335 Сделайте лог OSAM
Цитата:
9. Мастер поиска и устранения проблем
>> Заблокирована возможность подключения и отключения сетевых дисков
>> Меню Пуск - заблокированы элементы
>> Таймаут завершения процессов находится за пределами допустимых значений
>> Таймаут завершения служб находится за пределами допустимых значений
>> Заблокирован пункт меню Справка и техподдержка
это вы изменили или исправлять ? »

нет, я ничего не изменял.
Сейчас выполню скрипты.

regist · Отправлено: **16:26, 19-04-2012** | #5

Цитата Kinqui:

нет, я ничего не изменял. »

тогда перед повторными логами выполните ещё такой скрипт

Код:

begin 
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
RebootWindows(false);
end.

и не забудьте сделать лог OSAM

Kinqui · Отправлено: **16:28, 19-04-2012** | #6

Я уже сделал логи.
Мне скрипт все равно выполнять?

P.S отправил quarantine на анализ.

Kinqui · Отправлено: **16:31, 19-04-2012** | #7

Ах да, вот еще лог от OSAM

regist · Отправлено: **17:11, 19-04-2012** | #8

Здравствуйте!

Отключите антивирус/фаервол, интернет;

Выполните скрипт в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
 ExecuteRepair(6);
 ExecuteRepair(8);
 ExecuteRepair(10);
 ExecuteWizard('TSW',2,3,true);
RebootWindows(false);
end.

после выполнения скрипта компьютер перезагрузится.

Сделайте новый лог virusinfo_syscheck.zip.

C:\Program Files\mirc\mirc.exe - not-a-virus:Client-IRC.Win32.mIRC.df как понимаю с вашего позволения.

Что с проблемой ?

Kinqui · Отправлено: **17:27, 19-04-2012** | #9

После выполнения скрипта компьютер не перезагрузился. Пришлось reboot самому.

Лог прикрепил.

Я до сих пор не пойму, почему у меня теперь 2 процесса GuardMailRu.exe
и что за процесс DeLayLoad.exe

regist · Отправлено: **18:03, 19-04-2012** | #10

Цитата:

9. Мастер поиска и устранения проблем
>> Таймаут завершения процессов находится за пределами допустимых значений
>> Таймаут завершения служб находится за пределами допустимых значений
>> Разрешен автозапуск со сменных носителей

Советую выполнить Файл - Мастер поиска и устранения - устраните найденные неисправности.

Цитата Kinqui:

Я до сих пор не пойму, почему у меня теперь 2 процесса GuardMailRu.exe »

это в службу поддержки майл.ру агента.

Цитата Kinqui:

и что за процесс DeLayLoad»

это системный от windows.

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Выполните Рекомендации после лечения.