Добрый день!
Совсем недавно обнаружил, что на одном из рабочих компьютеров перестал обновляться лицензионная версия НОДа - посмотрел поиск, причина в вирусах.
Прикрепляю логи к сообщению. Посмотрите, пожалуйста, как устранить вирусы.
Printable View
Добрый день!
Совсем недавно обнаружил, что на одном из рабочих компьютеров перестал обновляться лицензионная версия НОДа - посмотрел поиск, причина в вирусах.
Прикрепляю логи к сообщению. Посмотрите, пожалуйста, как устранить вирусы.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
procedure FixServiceStart(ServiceName:string;);
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName) then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName);
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName, 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\' + ServiceName + ' исправлено на оригинальное.');
if (RegKeyIntParamRead('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName, 'Start') = 0) then
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName,'Start', 2);
AddToLog('Тип запуска службы ' + ServiceName + ' переведен в режим Авто.');
end;
end;
end;
end;
begin
FixServiceStart('wscsvc');
SaveLog(GetAVZDirectory+'LOG\avz.log');
end.[/CODE]
После перезагрузки:
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
[QUOTE=polword;788803]После перезагрузки:
- Сделайте повторный лог [COLOR=Blue]virusinfo_syscheck.zip[/COLOR];
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR=Blue][B]MBAM[/B][/COLOR][/URL][/QUOTE]
Сделал. Логи прикрепил.
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные ниже записи[/b] [code]Заражённые параметры в реестре:
HKEY_CURRENT_USER\Software\Microsoft\setiasworld (Malware.Trace) -> Value: setiasworld -> No action taken.
Заражённые файлы:
c:\documents and settings\user\главное меню\программы\автозагрузка\igfxtray.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\User\application data\netprotdrvss (Trojan.Agent) -> No action taken.
c:\documents and settings\User\local settings\Temp\0.457380825471689.exe (Trojan.Dropper) -> No action taken.[/code]
[QUOTE=thyrex;789120][URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] [B]только указанные ниже записи[/B][/QUOTE]
Удалил [B]только[/B] эти записи. Перезагрузил компьютер - проблема не решилась. Варианты?
Обновите базы AVZ и переделайте логи
[QUOTE='Dmitry_Che;789195']Удалил только эти записи[/QUOTE]Где новый лог МВАМ после удаления?
[QUOTE=thyrex;789280]Где новый лог МВАМ после удаления?[/QUOTE]
Прикреплен. Но ничего не нашлось - НОД по прежнему не обновляется.
Попробуйте переустановить NOD
"великолепно" - больше нечего сказать. помимо имеющейся проблемы - антивирусник полностью отрубился =((
[B]polword,[/B] может Вы что подскажете толковое?
В AVZ выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\igfxtray.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
После перезагрузки
[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]
Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
Лог mbam переделывайте. Нужно полное сканирование, а не быстрое.