Перейти к содержимому


* * * * * 3 Голосов

Пoмoщь в лечeнии кoмпьютера


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 1089

#81 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 16 Сентябрь 2007 - 20:57

Цитата

begin
SearchRootkit(true, true);
QuarantineFile('\SystemRoot\System32\Drivers\a333df3b.SYS','');
QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Карантин, получившийся после перезагрузки, упакуй в архив и пришли мне в личку.

#82 d'ArcZeal

d'ArcZeal

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 294 сообщений
  • Пол:Мужчина

Отправлено 16 Сентябрь 2007 - 21:33

А где этот карантин?

#83 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 16 Сентябрь 2007 - 21:36

В корневой папке, куда распакована AVZ

#84 bejen

bejen

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 6 560 сообщений
  • Пол:Мужчина
  • Город:Lineage 2
  • Интересы:всё то, что интересно...

Отправлено 03 Октябрь 2007 - 21:12

Содержательный такой HTML получился, боюсь нет ли чего...  :)

Прикрепленные файлы

  • Прикрепленный файл  avz_sysinfo.htm   96,61К   16 Количество загрузок:


#85 Lexxus

Lexxus

    Сохранитель форума, всеplanetарный знаток свитчей.

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 689 сообщений
  • Пол:Мужчина

Отправлено 03 Октябрь 2007 - 21:27

кошмар... как система то еще не глючит
C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll

))

По сабжу: Ничего не вижу... вроде ничего нет...

#86 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 03 Октябрь 2007 - 23:08

Просмотр сообщения*Gnom* (3.10.2007, 22:12) писал:

Содержательный такой HTML получился, боюсь нет ли чего...  :)

Вот это выполнить будет нелишним:

Цитата

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('RemoteRegistry', 4);
end.


#87 bejen

bejen

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 6 560 сообщений
  • Пол:Мужчина
  • Город:Lineage 2
  • Интересы:всё то, что интересно...

Отправлено 03 Октябрь 2007 - 23:15

Cкрипт выполнен, спасибо..

#88 ZIPPO

ZIPPO

    Посетитель

  • Members
  • PipPip
  • 79 сообщений

Отправлено 07 Октябрь 2007 - 21:41

Вот что получилось:

Прикрепленные файлы

  • Прикрепленный файл  avz_sysinfo.htm   44,37К   4 Количество загрузок:


#89 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 07 Октябрь 2007 - 22:31

Просмотр сообщенияZIPPO (7.10.2007, 22:41) писал:

Вот что получилось:
Хм, AVZ тоже детектирует маскировку svchost.exe

 >>>> Обнаружена маскировка процесса 904 c:\windows\system32\svchost.exe
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Сделаем так:
1. Для начала идете в AVZ - AVZPM - установить драйвер расширенного мониторинга процессов
2. После чего перезагружаете компьютер
3. После перзагрузки вновь запускаете AVZ,  отмечаете галочками блокирование rootkit kernel mode и user mode, жмете Пуск и дожидаетесь окончания проверки (Вы это уже делали перед созданием первого лога)
4. Затем открываете меню Файл - Иссследование системы  - здесь переставляете переключатель с только активные службы и драйверы на все службы и драйверы и жмете на Пуск
5. Полученный в результате htm лог прикрепляете сюда

#90 ZIPPO

ZIPPO

    Посетитель

  • Members
  • PipPip
  • 79 сообщений

Отправлено 08 Октябрь 2007 - 09:47

Дубль 2 :)

Прикрепленные файлы

  • Прикрепленный файл  avz_sysinfo.htm   59,44К   9 Количество загрузок:


#91 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 08 Октябрь 2007 - 11:02

Как я и думал... Зверек объявился. AVZ - Файл - Выполнить скрипт:

Цитата

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\mssrv32.exe','');
DeleteFile('c:\windows\system32\mssrv32.exe');
BC_DeleteFile('c:\windows\system32\mssrv32.exe');
BC_DeleteSvc('mssrv32');
BC_ImportQuarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер уйдет на перезагрузку, после чего повторите лог.

#92 ZIPPO

ZIPPO

    Посетитель

  • Members
  • PipPip
  • 79 сообщений

Отправлено 08 Октябрь 2007 - 13:08

После всех действий получил:

Прикрепленные файлы

  • Прикрепленный файл  avz_sysinfo.htm   66,39К   6 Количество загрузок:


#93 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 08 Октябрь 2007 - 15:27

Просмотр сообщенияZIPPO (8.10.2007, 14:08) писал:

После всех действий получил:
Чисто. Выполните скрипт напоследок, чтобы закрыть некоторые потенциальные уязвимости:

Цитата

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('RemoteRegistry', 4);
end.


#94 ZIPPO

ZIPPO

    Посетитель

  • Members
  • PipPip
  • 79 сообщений

Отправлено 08 Октябрь 2007 - 15:52

Спасибо большое, всё отлично теперь наконец ничего не тормозит. Симптомы были: заходил в интернет включал аську, страницы запускал, а потом через некоторое время начинает всё тормозить, и выключив все странички и аську, инет продолжал чего то отправлять поэтому я думаю и тормозило.

#95 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 08 Октябрь 2007 - 15:56

Я немного погуглил и на сайте ЛК нашел, что у Вас жил trojan.downloader (скрытый троянкий загрузчик), который ходил в инет через svchost.exe, чтобы не палиться файрволами.

#96 ZIPPO

ZIPPO

    Посетитель

  • Members
  • PipPip
  • 79 сообщений

Отправлено 08 Октябрь 2007 - 22:44

А есть риск заразится им снова?

#97 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 08 Октябрь 2007 - 22:47

Риск есть всегда. Совет по комплексной минимизации рисков в трех частях здесь:
http://himki.net/faq/virus/one/

#98 Netto

Netto

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 677 сообщений
  • Пол:Не определился
  • Город:Старые

Отправлено 09 Октябрь 2007 - 00:42

Просмотр сообщенияXL (8.10.2007, 16:27) писал:

...Выполните скрипт напоследок, чтобы закрыть некоторые потенциальные уязвимости:
XL, вопрос: приведённый скрипт универсален, или писался именно под машину ZIPPO? И есть ли унверсальный?

#99 Yuly

Yuly

    Втянувшийся

  • Members
  • PipPipPip
  • 308 сообщений
  • Пол:Мужчина
  • Город:Химки

Отправлено 09 Октябрь 2007 - 07:54

А не сидит ли какой-нибудь негодяй у меня!?
Заранее спасибо!
Прикрепленный файл  avz_sysinfo.htm   148,48К   3 Количество загрузок:

#100 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 09 Октябрь 2007 - 09:25

Сидит. Вредоносный BHO работает вместе с любимым и ненаглядным Internet Explorer. Выполните такой скрипт:

Цитата

begin
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
BC_DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Просмотр сообщенияNetto (9.10.2007, 01:42) писал:

XL, вопрос: приведённый скрипт универсален, или писался именно под машину ZIPPO? И есть ли унверсальный?
ПисАлся конкретно под данную машину. Универсальный скрипт делается через переменные окружения.




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных