Памажите!

Printable View

18.06.2009, 15:25
fidan

Памажите!

Под безопасном режиме не стартует Курейт. "Срок ключа истёк и бла бла бла". Высылаю логи.
18.06.2009, 16:22
gjf

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
BC_DeleteSvc('Wincj70');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('WebClientSSDPSRVRSVP');
BC_DeleteSvc('WebClientSSDPSRV');
BC_DeleteSvc('VSSVSS');
BC_DeleteSvc('SCardDrvImapiService');
BC_DeleteSvc('RemoteAccessShellHWDetection');
BC_DeleteSvc('EventlogPolicyAgent');
BC_DeleteSvc('CryptSvcupnphost');
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]
Система перезагрузится.
Сделайте повторный лог только согласно пункта 2 [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
virusinfo_syscheck.zip

Также, [URL="http://virusinfo.info/showthread.php?t=40118"]сделайте лог с помощью GMER.[/URL]
19.06.2009, 10:50
fidan

Сделано. Гляньте на другую тему если можете [url]http://virusinfo.info/showthread.php?t=48264[/url]
19.06.2009, 11:50
gjf

Давайте сначала с этим закончим.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
QuarantineFile('srv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wincj70.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincj70.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('srv.exe');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
end.[/CODE]

Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
19.06.2009, 13:01
fidan

Ошибка в синтаксисе скрипта. По мнению АВЗ! Строчка QuarantineFile('ы srv',''); у меня буква "Ы", отображает.
19.06.2009, 13:06
gjf

Хорошо, я подправил скрипт. Попробуйте ещё раз.
19.06.2009, 13:25
fidan

Скрипт выполнен. Папка карантин пуста!
19.06.2009, 13:37
gjf

Попробуйте в безопасном режиме запустить [URL="ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe"]CureIt[/URL] или [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]AVPTool[/URL].
19.06.2009, 14:22
fidan

Всё таже история. В безопасном али в обычном. курейт глохнет по причине якобы просроченного кея.
19.06.2009, 14:25
gjf

Что с AVPTool?
19.06.2009, 14:48
fidan

Стартует, сканирует. ничего не находит
19.06.2009, 14:59
gjf

А CureIt Вы свежий скачали?
19.06.2009, 15:18
fidan

Самый что ни наесть свежачок. Курейт и 100 дневной давности тестит систему. Здесь дело я даже не знаю в чем. На старте курейта выскакивает ошибка "Срок действия лиц ключа истек!" Дальше окошко о программе, там

"Пользователь: A User
номер лицензионного ключа: 0010537607
Лицензия действительна с 2008-12-05 по 2009-06-07"

Дальше окошко:
Ваш лицензионный ключ поврежден или отсутствует, для получ нового обратитесь к к диллеру", ок стартует браузер страничка: [url]http://buy.drweb.com/register[/url]

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Упс, пошло поехало. Про свежий я погорячился. Спасибо.
19.06.2009, 17:15
gjf

На всякий случай сделайте ещё вот что.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\DRIVERS\parport.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
После перезагрузки:
- Сделайте повторные логи согласно пункта 2 [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL] с помощью [URL="http://ifolder.ru/12581248"]полиморфного AVZ[/URL] md5: 2091925798b7909e010e3f7e328c5f0d
virusinfo_syscheck.zip
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.
29.06.2009, 10:30
fidan

Карантин выслал, логи сделаю позже.
29.06.2009, 10:40
fidan

Логи
29.06.2009, 17:58
gjf

Миссия выполнена [img]http://fc01.deviantart.com/fs12/i/2006/274/c/4/_cowboy__by_sereneworx.gif[/img]
Вы можете отблагодарить хелперов, которые Вам помогли, добавив им отзыв, а также и весь проект VirusInfo вот [URL="http://virusinfo.info/showthread.php?t=3519"]тут.[/URL]
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
Установите все последние [URL="http://update.microsoft.com]обновления системы Windows[/URL] и используемых программ.
30.06.2009, 17:58
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]