Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

скрипт под ХР запустил под w2k3 как откатить? (заявка № 22930)

  1. #1
    Junior Member Репутация
    Регистрация
    08.05.2008
    Сообщений
    12
    Вес репутации
    59

    Question скрипт под ХР запустил под w2k3 как откатить?

    не сервак влез вирус locale.exe
    на своей машине я его вылечил с помощью скрипта, кот. подсмотрел здесь на форуме - все получилось
    потом сдуру взял и выполнил его на серваке...

    Bratez писал:
    >Нельзя выполнять ExecuteRepair(6) на серверной ОС! Что для ХРюши >хорошо, для 2k3 - смерть. Посмотрите, есть ли в папке с AVZ >подпапка Backup, если да - может быть с ее помощью удастся >восстановить удаленные ключи реестра, связанные с policies.
    >Можете обратиться в раздел "Помогите", у нас на форуме есть >хорошие спецы по серверам.

    при запуске сервак выдает ошибку запуска в одной или нескольких сетевых службах.
    а при работе напроч отказывается видеть сеть
    с него пинговал - на пинги ответ: заданный узел недоступен

    после выполнения скрипта запускал еще мастер поиска и исправления проблем - и фиксил, что он нашел

    вопрос: КАК откатить если это возможно. если нет то буду переставлять ось =(
    Последний раз редактировалось fess2005; 15.05.2008 в 23:52.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Не помешало бы если бы вы поместили сюда этот скрипт. Просто интересно посмотреть. Помочь вам сложно, быстрее будет переустановить Windows.

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Если Вы хотели посмотреть скрипт, то последнее предложение было лишним. Теперь точно скрипт не увидим.
    Сердце решает кого любить... Судьба решает с кем быть...

  5. #4
    Junior Member Репутация
    Регистрация
    08.05.2008
    Сообщений
    12
    Вес репутации
    59
    привожу скрипт, который я запускал в AVZ
    бекап сохранился
    begin
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents and Settings\Пупков)))\Шаблоны\Brengkolang.com','');
    DeleteFile('C:\Documents and Settings\Пупков)))\Шаблоны\Brengkolang.com');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(0);
    ExecuteRepair(17);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policie s\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    BC_Activate;
    RebootWindows(true);
    end.

  6. #5
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    хмм надо у Олега спросить, что это за секретная функция
    Код:
    ExecuteRepair(0);
    Microsoft Most Valuable Professional in Consumer Security

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Проблема в том, что ExecuteRepair(6) удаляет из реестра policies, причем не только HKCU\SOFTWARE\Microsoft\Windows\Current Version\policies, но и из HKLM, а у серверной ОС там очень много важных вещей прописано.
    Цитата Сообщение от fess2005 Посмотреть сообщение
    бекап сохранился
    В папке BackUp находятся reg-файлы, содержащие ключи реестра, которые были удалены (изменены) скриптом. Их можно просто "запустить" и согласиться с добавлением в реестр. Думаю, проблема должна тем самым решиться.

    Добавлено через 35 секунд

    akoK, там было ( 8 ) на самом деле.
    Последний раз редактировалось Bratez; 16.05.2008 в 11:17. Причина: Добавлено
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    08.05.2008
    Сообщений
    12
    Вес репутации
    59
    Всем СпасиБо за поддержку!!
    понажимал все ключики - ошибка осталось
    ...придеться переставлять ось =(
    ...а так не хочеться!!! и время нет

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Перезагрузиться не забыли после этого?
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    08.05.2008
    Сообщений
    12
    Вес репутации
    59
    а как же! конечно

  11. #10
    Junior Member Репутация
    Регистрация
    08.05.2008
    Сообщений
    12
    Вес репутации
    59
    Добрый день! спешу сообщить радостную весть: так как сервер я не стал сразу мочить - он успел очухаться и заработал!!!!
    Всем спасибо за поддержку

    Добавлено через 2 минуты

    Кстати - тлетворное влияние вируса при новой перезагрузке все снова и снова показывает - что гада то не замочили...
    как мог вручную остановил его но удалить пока не получается
    на серваке стоит симантек - а он как то против авторанов не очень...
    Последний раз редактировалось fess2005; 17.05.2008 в 15:02. Причина: Добавлено

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Самое время сделать логи по правилам
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    08.05.2008
    Сообщений
    12
    Вес репутации
    59
    тему эту увидел создатель этого вируса "locale.exe" - вреда он вроде как не делает, а только неудобства со скрытыми файлами и реестром..
    он дал мне лекарство от этой бяки - буду пробовать

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    LOL!!!
    fess2005, вы над нами издеваетесь чтоли?

  15. #14
    Junior Member Репутация
    Регистрация
    08.05.2008
    Сообщений
    12
    Вес репутации
    59
    а где собственно вы нашли, что я издеваюсь?
    у меня была проблема - я ее пытался решать - когда напортачил - обратился к вашему форуму - как откатить - результат= сейчас сервак работает. А неполадки исходные так и остались - работе они особо не мешают - просто масса неудобств
    недавно зашел посмотреть новости на форуме - а мне сообщение в приват с предложением по удалению конкретно этого виря

    на хрюше сработало - на серваке запущу только после пробы на виртуальной машине
    Последний раз редактировалось fess2005; 21.05.2008 в 15:35.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    1. Запустили чужой скрипт - нарушение Правил.
    2. Вам предложили сделать логи по правилам - НОЛЬ внимания.
    3. Какойто проходимец вам прислал сообщение - вы делаете что он говорит:
    Цитата Сообщение от Правила
    Если Вы отказываетесь выполнять указания хелперов, или делаете все по-своему, не удивляйтесь тому, что Ваша тема может быть закрыта.

  17. #16
    Junior Member Репутация
    Регистрация
    08.05.2008
    Сообщений
    12
    Вес репутации
    59
    понял.
    в четверг будут логи.
    зы: НОЛЬ внимания - я на месте происшествия не каждый день бываю

  18. #17
    Junior Member Репутация
    Регистрация
    08.05.2008
    Сообщений
    12
    Вес репутации
    59
    logs
    Вложения Вложения

  19. #18
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    autorun.inf - ваши?

    Добавлено через 6 минут

    Кто не спрятался я не виноват
    Пофиксить в HijackThis следующие строчки
    Код:
     F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntfsours.exe,

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('R:\autorun.inf','');
     QuarantineFile('P:\autorun.inf','');
     QuarantineFile('M:\autorun.inf','');
     QuarantineFile('E:\autorun.inf','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\ntfsours.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\MBX@580@F83338.###','');
     QuarantineFile('C:\WINDOWS\system32\storelib.dll','');
     QuarantineFile('C:\WINDOWS\system32\locale.exe','');
     DeleteFile('C:\WINDOWS\system32\locale.exe');
     DeleteFile('C:\WINDOWS\system32\ntfsours.exe');
     DeleteFile('P:\autorun.inf');
     DeleteFile('C:\autorun.inf');
     DeleteFile('D:\autorun.inf');
     DeleteFile('E:\autorun.inf');
     DeleteFile('M:\autorun.inf');
     DeleteFile('R:\autorun.inf');
     BC_ImportALL;
     ExecuteRepair(8);
     ExecuteRepair(17);
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    Повторите логи
    Последний раз редактировалось akoK; 22.05.2008 в 16:30. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  20. #19
    Junior Member Репутация
    Регистрация
    08.05.2008
    Сообщений
    12
    Вес репутации
    59
    небольшие пояснения
    ось в2к - сервак АД - на данный момент единственный
    боролся с вирями вручную - на всех дисках + сетевые папки - мочил тело виря(при исходном названии) и в безопасности убирал у всех право запись, чтение, выполнение - чтоб вирь себя не записал заново
    то же и в систем32 - локале.ехе

    ps: думаю будут проблемы с DeleteFile('C:\WINDOWS\system32\locale.exe');
    DeleteFile('P:\autorun.inf');
    DeleteFile('C:\autorun.inf');
    DeleteFile('D:\autorun.inf');
    DeleteFile('E:\autorun.inf');
    DeleteFile('M:\autorun.inf');
    DeleteFile('R:\autorun.inf');

  21. #20
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    Хорошо уберите все DeleteFile и ExecuteRepair, ExecuteSysClean; соберите карантин и отправьте согласно п.3 правил...вирлаб проанализирует и подготовит лекарство

    Добавлено через 41 секунду

    P>S> будет перезагрузка
    Последний раз редактировалось akoK; 22.05.2008 в 16:55. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  • Уважаемый(ая) fess2005, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. W2k3 AVZ выдаёт ошибки в SPI/LSP, smss.exe
      От dilinx в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 24.07.2011, 11:06
    2. rootkit+w2k3
      От -=DTG=- в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 20.05.2010, 12:01
    3. W2K3 наглотался
      От Igru в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 24.11.2009, 09:26
    4. Сломался запуск Explorer.exe на W2K3
      От Nik2286 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.11.2009, 00:30
    5. W2k3 со странностями
      От davinator в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.11.2008, 08:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00054 seconds with 20 queries