выполнил "Удалениe всех Policies для текущего пользователя" - сеть "ушла"
После выполнения "Удаления всех Policies для текущего пользователя" раздела "Востановление настроек системы" перестала работать сеть, точнее я немогу подключиться к удалённым Socks, Pop, Http и прочим портам, а файлы на соседних компах вижу без проблем...
Система WinXP pro x64
причём на 32-х битных системах такой проблемы нет ВООБЩЕ!
Сообщение от Зайцев Олег
Удаление Policies на сеть не влияет. А вот хаотичное запускание других скриптов и опций + деятельность недобитых зловредов - еще как повлияет
Олег, Я поставил экспиримент ещё на одной "чистой" 64-х битной системе:
1 загрузил комп - почта, аська, ftp - работают (всё через прокси)
2 скачал AVZ 4.25, запустил его.
3 дальше делаю ВСЕГО 4 клика мышью
ФАЙЛ/ВОСТАНОВЛЕНИЕ СИСТЕМЫ/Удаления всех Policies (ограничений) для текущего пользователя/Выполнить отмеченые операции
4 закрываю AVZ (почта, аська, ftp - работают)
5 reboot - почта, аська, ftp - НЕработают, но файлы на соседних компах видно без проблем.
После этого исполнение пунктов 5,8,14,15 раздела восстановление системы, переустановка сетевых интерфейсов, создание нового профиля - НЕ помогли.
Описаный эффект наблюдается исключительно на 64-х битных системаx(WinXP)
На 32-х битных всё работает должным образом.
НЕУЖЕЛИ ПЕРЕУСТАНАВЛИВАТЬ ВИНДУ?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В порядке поиска виноватых в пропаже сети - сделайте Спайдермылу -remove (spiderml.exe -remove) с последующей перезагрузкой. Не тестировался он на совместимость с x64.
в AVZ выполнить скрипт. Будет перезагрузка.
Прислать карантин. Ссылка для загрузки вверху темы.
Странно это. Такой похоже старенький Warezov и жив-здоров под Nod32.
в файле "BEFORE hijackthis.log" лог до выполнения скрипта.
не всё выполняется должным образом...
Лог AVZ в файле "AVZ error log.txt"
Сообщение от pig
В порядке поиска виноватых в пропаже сети - сделайте Спайдермылу -remove (spiderml.exe -remove) с последующей перезагрузкой. Не тестировался он на совместимость с x64.
СпайдерМэйл удалил, но не в нём дело, всё ведь работало...
Outluok к примеру выдаёт такую ошибку - "Outlook Error.txt"
Да и на работу FTP и HTTP с SOCKS'ом SpiderMail влиять вроде не должен...
тут "AFTER hijackthis.log" лог после всех операций.
1. Файл "C:\WINDOWS\eksplorasi.exe" в системе имеется ? Если да, то его следует прислать для изучения
2. Следует выполнить ipconfig /all и прислать полученный лог.
3. Что будет, если пингануть почтовый сервер - на ping он отвечает ?
4. С файлом hosts полный бардак, нужно стереть из него все, кроме строки 127.0.0.1 localhost
1. Файл "C:\WINDOWS\eksplorasi.exe" в системе имеется ? Если да, то его следует прислать для изучения
2. Следует выполнить ipconfig /all и прислать полученный лог.
3. Что будет, если пингануть почтовый сервер - на ping он отвечает ?
4. С файлом hosts полный бардак, нужно стереть из него все, кроме строки 127.0.0.1 localhost
в файле "IpConfig-ALL.txt" соответствующий лог
На пинг сервака - Destination host unreachable.
Сообщение от PavelA
C:\Documents and Settings\Administrator\Local Settings\Application Data\smss.exe - есть ли такой файлик?
Нужен новые логи AVZ. Посмотреть, что удалилось, а что осталось.
smss.exe в системе нет.
eksplorasi.exe в системе нет.
"Бронток" или как его там, был когда-то, давно, излечил путём снятия системного диска и сканирования на чистой машине.
чтобы вернуть пункт "Свойства папки" и возможность редактирования реестра, после действий вируса, выполнил описаные в начале действия и сети не стало.
Я более чем уверен что если мне всётаки прийдётся переустановить машину то исполнение "Удаление всех Policies для текущего пользователя" раздела "Востановление настроек системы" приведёт к тому же результату.
Я проверил "метод четырёх кликов" ЕЩЁ НА ОДНОЙ МАШИНЕ - реакция таже.
А еще один таой ПК есть ? Он по идее нужен для прояснения, что это за чудеса такие.
Короче говоря, указанный скрипт чистит следующие верки реестра:
1. Software\Microsoft\Windows\CurrentVersion\Policies
2. Software\Policies
Соответственно нужно изыскаеть еще один подобный ПК и посмотреть, есть там такие ветки или нет (у HKCU и в HKLM). Если есть, то:
1. Экспортнуть их (при экспорте указать тип файла "Файлы реестра Win9x/NT")
2. Приложить их сюда
3. Импортнуть на тех машинах, на которых выполнялось удаление всех политик и перезагрузиться. И посмотреть, что будет ...
-----
в нестройках сети (лог IPConfig) все вроде нормально ... все должно работать
А еще один таой ПК есть ? Он по идее нужен для прояснения, что это за чудеса такие.
Короче говоря, указанный скрипт чистит следующие верки реестра:
1. Software\Microsoft\Windows\CurrentVersion\Policies
2. Software\Policies
Соответственно нужно изыскаеть еще один подобный ПК и посмотреть, есть там такие ветки или нет (у HKCU и в HKLM). Если есть, то:
1. Экспортнуть их (при экспорте указать тип файла "Файлы реестра Win9x/NT")
2. Приложить их сюда
3. Импортнуть на тех машинах, на которых выполнялось удаление всех политик и перезагрузиться. И посмотреть, что будет ...
-----
в нестройках сети (лог IPConfig) все вроде нормально ... все должно работать
В общем и целом удалось выяснить что это баг функции востановления AVZ.
Вот ветки с двух машин для поиска устранения бага,
KLIM.rar c пострадавшей машины(HKEY_CURRENT_USER\Software\Microsoft\Window s\CurrentVersion\Policies на ней не окозалось вообще, но это и не повлияло на работу сети), ARMA.rar с машины-донора.
Проверено ещё на одной машине(третья по счёту)
Актуально ТОЛЬКО ДЛЯ 64-х битных систем!
В общем и целом удалось выяснить что это баг функции востановления AVZ.
Проверено ещё на одной машине(третья по счёту)
Актуально ТОЛЬКО ДЛЯ 64-х битных систем!
Теперь всё работает.
Спасибо за внимание.
Это не баг AVZ ... не нужно пускать подобные скрипты без надобности, если нет уверенности в необъходимости данной операции. и 64 бит система тут не причем - все гораздо проще. На рассмотренных ПК применяется фильтрация пакетов, а настройки фильтрации лежат в IPSec\Policy\Local. Удаление всех ограничений предполагает удаление и этих настроек - и правила фильтрации удаляются (они ведь также могли быть модифицированы зловредом). Соответсвенно фильтр пакетов без правил никого никуда не пускает
Это не баг AVZ ... не нужно пускать подобные скрипты без надобности, если нет уверенности в необъходимости данной операции. и 64 бит система тут не причем - все гораздо проще. На рассмотренных ПК применяется фильтрация пакетов, а настройки фильтрации лежат в IPSec\Policy\Local. Удаление всех ограничений предполагает удаление и этих настроек - и правила фильтрации удаляются (они ведь также могли быть модифицированы зловредом). Соответсвенно фильтр пакетов без правил никого никуда не пускает
Надобность была, о ней я писал выше.
Поясните как востановить правила фильтрации штатными средствами системы, либо при помощи AVZ?
(её ведь никто не настраивал, всё по дефолту после установки системы, разве не должна востанавливающая функция AVZ приводить всё к дефолтному состоянию, так сказать к "заводским" настройкам?)
Я ещё раз проверил на последней имеющейся в студии машине с 64-х разрядной осью, и на другой, 32-х битной...
С 32-х разрядной не произошло ничего.
64-х битная в ауте.
КАК ЭТО можно объяснить?
Последний раз редактировалось SoV; 28.06.2007 в 08:57.
Надобность была, о ней я писал выше.
Поясните как востановить правила фильтрации штатными средствами системы, либо при помощи AVZ?
(её ведь никто не настраивал, всё по дефолту после установки системы, разве не должна востанавливающая функция AVZ приводить всё к дефолтному состоянию, так сказать к "заводским" настройкам?)
Я ещё раз проверил на последней имеющейся в студии машине с 64-х разрядной осью, и на другой, 32-х битной...
С 32-х разрядной не произошло ничего.
64-х битная в ауте.
КАК ЭТО можно объяснить?
У XP SP2 эта фича управляется при помощи доп. программы, которая входит в Support Tools. В частности, там есть команда netdiag /test:ipsec - для теста, и IPSeccmd.exe - для управления. Подробности см. на сайте MS - вот ссылочка: http://support.microsoft.com/default...b;en-us;813878
Уважаемый(ая) SoV, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: