nssm.exe

[AndreyKa]

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\rpcs.exe','');
 QuarantineFile('C:\WINDOWS\system32\nssm.exe','');
 DeleteFile('C:\WINDOWS\system32\nssm.exe');
 DeleteFile('C:\WINDOWS\system32\rpcs.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkShareSessionManager');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','NetworkShareSessionManager');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System','EventMessageFile');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

Может это с сети?! Может выложить логи со всех компов в сетке?!

Может. А сколько их у вас?

[st.diesel]

К сожалению rpcs удалил каспер... Что косается компов - то у нас их в районе 13 ти
Результат загрузкиФайл сохранён как 100628_123626_virus_4c285f0a34da5.zip
Размер файла 156447
MD5 ad89d289c37556b1767b57c167e17c09

[AndreyKa]

В логе чисто.
В карантине свежий зловред.

Что косается компов - то у нас их в районе 13 ти

Это не старашно. Такое количиство можно и ногами обойти.

[st.diesel]

Хорошо... Завтро все логи будут...

[Alex_Goodwin]

Нужно будет на всех машинках менять пароли, удалять админ-шару и ставить все заплатки.

[st.diesel]

Кхм почему то не хочет все сразу ща дошлю...

[AndreyKa]

Для каждого компьютера надо создать отдельную тему и в ней выложить его логи. Таковы Правила.

[st.diesel]

и добавочка... кстати осталось еще два компа, но их я смогу только завтро с утричка проверить - два файловых сервера...

[st.diesel]

Блин... Хорошо... А можно архивом кидать syscure check и hi?

Добавлено через 51 минуту

http://virusinfo.info/showthread.php?t=82080 Скачал по этой теме и нечайно запустил на своем компе, после быстрой проверки поделив пополам эксплорер и опера загрузили ЦП на 100%, убил оперу, но комп не перестал тупить, только после ребута ожил... Это нормально?!

[AndreyKa]

Вы лог сохранили? Приложите сюда.

[st.diesel]

Нет... Сделаю...

Добавлено через 5 часов 26 минут

Без зависания получилось его запустить только с 3го раза... Пришел на работу через три часа... И о чулдо, он еще сканирует, комп тупит зверски, ни на что кроме перемещения окна не реагирует... Оперу перед запуском не отрубил... Останавил проверку, думал сохранить лог хотябы того что есть, комп подвис... Получилось только запустить диспетчер задач... опять экслорер и опера поделили пополам 100% загрузку ЦП... Убил оперу и еще кучу процессов, в том чесле и экслорер с дальнейшим перезапуском, не помогло... Вообщем попытаюсь завтро вечером еще раз... Печально как то

[st.diesel]

Кхм... Уже бросить бы это занятие да винду снести... Но охото ж добить сволоч...

[AndreyKa]

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\nssm.exe','');
 DeleteFile('C:\WINDOWS\system32\nssm.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Обновите базы AVZ.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Кстати говоря, по поводу Windows, у системных файлов не стандартная для SP3 дата модификации. Что это за дистрибутив такой? Была установленна Beta версия SP3?

[st.diesel]

Результат загрузкиФайл сохранён как 100630_113222_virus_4c2af306f1405.zip
Размер файла 16202
MD5 39f2d4ded6d4956ff414bd403ff78350

Файл закачан, спасибо!
_____________________________________________
По поводу СП3, было давно и не правда, не помню я! Изначально стоит лицензия СП2! А обновлялся я давненько...

И кстати в этот раз каспер наконец среагировал на nssm... Раньше вообще без эмоций... Пыиаюсь сделать лог пока не получается!!!

[AndreyKa]

Да, антивирус удалил nssm из карантина.

Пыиаюсь сделать лог пока не получается!!!

В чём проблема?

[st.diesel]

Первый раз комп тупо завис... Вернее AVZ, второй раз все получилось!

[AndreyKa]

Снова чисто.
Посмотрите в списке установленных программ, SP3 там под каким именем значится? Когда был установлен?

[st.diesel]

Блин не написанно когда... Написанно Windows XP Service Pack 3...
Еще меня смущает всякие процессы секундные при загрузки винды - типа Nmkeyscan.exe и тому подобного... Да кстати, пытаюсь выяснить, но не нахожу пока объяснения, с утра и до сих пор не хочет нормально работать usergate...

[AndreyKa]

Похоже, дело идет к переустановке Windows

[st.diesel]

Да я и сам это чую... Просто после работы оставаться не охото, а иначе меня бухгалтера съедят с головой... Да и за три года пора бы... Да и хотелось зловреда победить а то начали и не закончили!

Добавлено через 52 минуты

Оффтоп: Где можно взять достойный faq по AVZ и другим утилитам?! Чтоб потихоньку самому разобраться в работе данных утилит?! Да и вообще может, что в вирусологии посоветуете?!