halfelven Posted December 8, 2008 Report Share Posted December 8, 2008 Одна из курируемых точек пожаловалось на то что не обновляется Касперский. И действительно при ручном запуске обновления появляется окно и на нем нечего не идет (в этот момент в мониторинге Outpost'а вообще пустота от Касперского). После этого выдается сообщение об том что не возможно... т.д. и т.п. и самое интересное - на n-ое время выгружается служба, но через несколько секунд запускается вновь. Для эксперимента фаервол полностью отключался - не помогло. В безопасном режиме гоняли CureIt' - нечего. В msconfig нашли автозагрузке файлик kavo.exe. По поиску на сайте касперского обнаружили, что этот файлик характеризует трояны серии Trojan-PSW.Win32.OnLineGames.sxa, Trojan-PSW.Win32.OnLineGames.rlh, Worm.Win32.AutoRun.bhx . По схеме указаной к ручному лечению этих вирусов не все пункты подходили, кое что действительно было в реестре, а кое чего не было. Но вообщем после "лечения" ситуация не изменилась. Прошу помочь. PS: vnc, support - наши программы для удаленного доступа, citycv3 - это служба кардридера avz_log.txt avz_log.txt Quote Link to comment Share on other sites More sharing options...
akoK Posted December 8, 2008 Report Share Posted December 8, 2008 Логи не те. 8. Создайте тему в ветке «Лечение систем от компьютерных вирусов» и присоедините полученные логи: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.log Quote Link to comment Share on other sites More sharing options...
halfelven Posted December 9, 2008 Author Report Share Posted December 9, 2008 Логи не те. Извиняюсь... щаз выложу те. PS: Только сразу хочу предупредить, компьютер за 250 км от меня, за компьютером пользователи "не продвинутые", тот же Касперский через VNC (удаленка) не управляется. Так что не знаю на сколько эти логи будут актуальны. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Quote Link to comment Share on other sites More sharing options...
akoK Posted December 9, 2008 Report Share Posted December 9, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\criacx.ocx','');QuarantineFile('C:\WINDOWS\system32\Drivers\vnccom.SYS','');QuarantineFile('c:\program files\psi\psi.exe','');QuarantineFile('c:\sv3\citynet_sv3.exe','');BC_ImportALL;ExecuteRepair(6);ExecuteRepair(8);ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Включите AVZPM и повторите логи Если что-то отключали через msconfig... включите Quote Link to comment Share on other sites More sharing options...
halfelven Posted December 9, 2008 Author Report Share Posted December 9, 2008 QuarantineFile('C:\WINDOWS\system32\criacx.ocx',''); QuarantineFile('C:\WINDOWS\system32\Drivers\vnccom.SYS',''); QuarantineFile('c:\program files\psi\psi.exe',''); QuarantineFile('c:\sv3\citynet_sv3.exe',''); к сожалению это все наше... =((( 1) модуль к онлайн-дилеру какого-то сотового оператора (100% гарантии безопасности ибо используется на всех точках уже несколько лет) 2) vnccom - это наш удаленный администратор (аналогично) 3) psi - это внутренний чат (аналогично) 4) sv3 - служба кард-ридера... (аналогично) Quote Link to comment Share on other sites More sharing options...
ТроПа Posted December 9, 2008 Report Share Posted December 9, 2008 Включите AVZPM и повторите логи Сделайте так, пожалуйста. Quote Link to comment Share on other sites More sharing options...
ser208 Posted December 9, 2008 Report Share Posted December 9, 2008 (edited) Извиняюсь... щаз выложу те. PS: Только сразу хочу предупредить, компьютер за 250 км от меня, за компьютером пользователи "не продвинутые", тот же Касперский через VNC (удаленка) не управляется. Так что не знаю на сколько эти логи будут актуальны. Попроси пользователя в настройках Касперского в меню Сервис отключить запрет на внешнее управление и отключить защиту. Тогда можно будет управлять удаленно. Edited December 9, 2008 by ser208 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.