winantivirus Pro 2007 - что делать

[quote=Bratez;130109]Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\printer.exe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\system.exe');
DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ClearHostsFile;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте новые логи.[/quote]


Написало: Скрипт выполнен успешно или как-то так. Только вот как сделать новые логи и где их теперь искать?

Поищите вручную файл:
C:\WINDOWS\system32\hadjajr.ini
Если найдется - пришлите по правилам.
Ждем новые логи.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Делать новые логи так же, как делали при создании темы.

[COLOR=gray][B][quote=PavelA;130128]C:\WINDOWS\system32\hadjajr.ini - вот это интересует.[/B][/COLOR]
[COLOR=black]никак не могу найти HADJAJR.INI Два раза проверил папку SISTEM 32, может пропустил по невнимательности. Сейчас просмотрю еще раз.[/COLOR]

[B][COLOR=gray]Можно сделать так: AVZ -- файл -- восстановление системы -- п.13 -- отметить -- нажать "Выполнить"[/quote][/COLOR][/B]
Это сделал.

[B][I][COLOR=red]Знаете, Павел, поверить не могу, но заразу кудато пропала, что ли. Никаких гадких сообщений, никакого желтого треугольника. Проверил Программы > Автозагрузка > Там нет того что раньше было (желтый треугольник...)[/COLOR][/I][/B]
[COLOR=black]Что теперь нужно сделать???[/COLOR]
Спасибо!!

[QUOTE]Что теперь нужно сделать???[/QUOTE]
[B][COLOR="Red"][U]ЛОГИ![/U][/COLOR][/B]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE]поверить не могу, но заразу кудато пропала, что ли. [/QUOTE]
Дык а чем же мы с вами занимались все это время? ;)

Да, и кнопочку "Пиво", в смысле "Спасибо" нажать не помешает.

[quote=Bratez;130132]Поищите вручную файл:
C:\WINDOWS\system32\hadjajr.ini
Если найдется - пришлите по правилам.
Ждем новые логи.

[SIZE=1][COLOR=#666686][B][I]Добавлено через 1 минуту[/I][/B][/COLOR][/SIZE]

Делать новые логи так же, как делали при создании темы.[/quote]


Не нашел, простите. Но гадость кудато пропала. Может тесты какие нибудь сделать.

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[I][COLOR=dimgray][quote=PavelA;130148]Да, и кнопочку "Пиво", в смысле "Спасибо" нажать не помешает.[/quote][/COLOR][/I]

[B][SIZE=3][COLOR=red]Низкий вам поклон!!! Спасибо, спасибо, спасибо!!![/COLOR][/SIZE][/B]
[COLOR=black]Так что. Теперь все? Готово? [/COLOR]

Не-а.
Логи повторите. Те,что делали в начале темы.

[QUOTE]Может тесты какие нибудь сделать.[/QUOTE]
Выполните заново все что написано в [URL="http://virusinfo.info/showthread.php?t=1235"]правилах[/URL] с п.8 по п.13 и прикрепите сюда полученные файлы.

[quote=Bratez;130158]Выполните заново все что написано в [URL="http://virusinfo.info/showthread.php?t=1235"]правилах[/URL] с п.8 по п.13 и прикрепите сюда полученные файлы.[/quote]


Понял наконец-то. Выполняю.

Применить в AVZ файл -- восст. системы - п.11
профиксить:
[CODE]O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1[/CODE]

[quote=PavelA;130167]Применить в AVZ файл -- восст. системы - п.11
профиксить:
[code]O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1[/code][/quote]






Сделал, спасибо. Что дальше.
[SIZE=1][COLOR=silver](Сколько у вас терпения!!)

[SIZE=2][COLOR=black]Это ничего если я отлучусь часа на два?[/COLOR][/SIZE][/COLOR][/SIZE]

Повторить лог Hijack и один лог AVZ.
Тут люди есть круглосуточно, может кто-то другой ответит.

[quote=PavelA;130170]Повторить лог Hijack и один лог AVZ.
Тут люди есть круглосуточно, может кто-то другой ответит.[/quote]


Я толко что заметил, что вы работаете до 20.00.

"Повторить лог" это порсести заново операцию или прислать то что я уже присылал? И еще, какой лог AVZ именно нужно прислать?

[QUOTE='Martyn;130173']"Повторить лог" это порсести заново операцию или прислать то что я уже присылал?[/QUOTE]
Заново сформировать. Зачем нам устаревшие сведения?

[QUOTE='Martyn;130173']И еще, какой лог AVZ именно нужно прислать?[/QUOTE]
Пункт 10 правил.

[COLOR=silver][quote=pig;130178]Заново сформировать. Зачем нам устаревшие сведения?[/COLOR]


[COLOR=silver]Пункт 10 правил.[/quote][/COLOR]


[COLOR=black]Ясно. Вот. Спасибо. Что дальше.[/COLOR]

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

[quote=pig;130178]Заново сформировать. Зачем нам устаревшие сведения?
Пункт 10 правил.[/quote]


Никак не удается загрузить почему-то.

Надо удалить то, что присылал в начале темы через "Правка" сообщения.

Никак не получается прикрепить логи. Предыдущие сообщения удалил, но "Управлятор вложениями" пишет:

[I][B]Вы уже вложили этот файл в теме : [/B][/I][URL="http://virusinfo.info/showthread.php?t=11980"][I][B]winantivirus Pro 2007 - что делать[/B][/I][/URL]

Я делаю что то не так? Может есть другой путь, что бы отправить логи?

[size="1"][color="#666686"][B][I]Добавлено через 20 минут[/I][/B][/color][/size]

Тут текст из файла hijackthis.log. Не знаю можно ли так делать.
А вот с syscheck.zip ршчуго не получается.




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:30:24, on 29.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Dell\Media Experience\DMXLauncher.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Mail.Ru\Agent\MAgent.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\wscntfy.exe
C:\HiJackThis\HijackThis.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [URL]http://www.euro.dell.com/[/URL]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [Dell Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [DMXLauncher] C:\Program Files\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKLM\..\Run: [EPSON Stylus Photo R220 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /P30 "EPSON Stylus Photo R220 Series" /O6 "USB001" /M "Stylus Photo R220"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader (2).lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Программа обновлений Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Yandex &Search - [URL]http://lingvo.yandex.ru/ie5search.htm[/URL]
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 7476 bytes

Имена у файлов чуть поменяйте, должно вложиться.

Ура кажется получилось.

В логах все чисто.