ноут стал периодически полностью зависать и появились какие-то глюки - долгое выключение, при включение иногда не отражаются или отражаются не правильно значки в трее.
стоит фаервол outpost и avast. проверял cureit - ничего не нашел.
проверил AVZ на максимальном эврестическом уровне.
вот логи (меня смущают) avz_log1.txt краткий avz_log.txt полный
будьте добры, проконсультируйте. спасибо.
п.с. DELL 1520, Vista premium.
Последний раз редактировалось Rene-gad; 25.10.2008 в 10:47.
Причина: ненужные логи удалены.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
сделал как вы сказали.
после первой проверки авз перегрузился, подключился к интернету, кликнул на иконку фаерфокса и ноут опять намертво повис, но как то по другому - курсор мыши реагировал на движение мышью.
перегрузился принудительно еще раз.
и выполнил все остальные пункты.
логи все равно что-то подозревают.
прошу вас, проверьте еще раз.
когда читаете инструкцию, нужно исполнять точно. Почему до сих пор этого не сделано, объясните.восстановление системы не отключили, антивирус с файрволом тоже забыли отключить.
отключить систему восстановления !!!
отключить интернет, антивирус и файрвол(чтобы было вам удобней отключить их автостарт ) -> {можно их вообще удалить, как видно заражение пропустили- значит нужно их менять/переинсталировать/настраивать на более жёсткиe настройки }
выполнить скрипт в AVZ {не забывать правой кнопкой запускать avz от имени администратора. }
1. Система как я полагаю Vista ? В этом случае нужно запускать AVZ с правами администратора из меню по правой кнопке (если был обычный запуск, то логи лучше переделать)
2. Если компонента Groove в офисе не применяется, то лучше ее деинсталлить, воспользовавшись деинсталлятором офиса из "Установка и удаления программ". Это глючная вешь, внедряет свои DLL куда ни попадя ... Аналогично с программой Bonjour
3. В файле HOSTS какая-то странная запись - "::1 localhost"
4. В браузере имеются зловредные тулбюры, в частности Ask Toolbar. Их нужно деинсталлировать, если не найдутся деинсталляторы, то их можно прибить скриптом:
Теперь по глюкам - в принципе система могла бы и не загрузиться - судя по логу виден Outpost в полном развороте, в плюс к нему стоит PCTOOLS CONTENT FILTER PROVIDER, да плюс еще avast!. Если в Outpost включена антивирусная компонента, то она может конфликтовать с монитором AVAST, аналогично с фильтрами трафика
когда читаете инструкцию, нужно исполнять точно. Почему до сих пор этого не сделано, объясните.восстановление системы не отключили, антивирус с файрволом тоже забыли отключить.
признавая свою криворукость, я подробно описываю симптомы и следую точно инструкции
отключить систему восстановления !!!
отключить интернет, антивирус и файрвол(чтобы было вам удобней отключить их автостарт ) -> {можно их вообще удалить, как видно заражение пропустили- значит нужно их менять/переинсталировать/настраивать на более жёсткиe настройки }
отключал систему восстановления(с перезагрузкой)
отключал антивирус и фаервол
отключал интернет
настройки все по максимуму
что у вас от pctools ? плохо удалился?
не забывать правой кнопкой запускать avz от имени администратора.
pc tools вообще выключен. периодически пользуюсь для проверки - был случай когда только он нашел трояна
AVZPM при проверке был включен.
делаю все как вы говорите.
___________________
2Зайцев Олег
да, стоит официальная Vista premium
2. Если компонента Groove в офисе не применяется, то лучше ее деинсталлить, воспользовавшись деинсталлятором офиса из "Установка и удаления программ". Это глючная вешь, внедряет свои DLL куда ни попадя ... Аналогично с программой Bonjour
3. В файле HOSTS какая-то странная запись - "::1 localhost"
4. В браузере имеются зловредные тулбюры, в частности Ask Toolbar. Их нужно деинсталлировать, если не найдутся деинсталляторы, то их можно прибить скриптом:
спасибо, Ask Toolbar выключил и как то забыл. исправлю.
Теперь по глюкам - в принципе система могла бы и не загрузиться - судя по логу виден Outpost в полном развороте, в плюс к нему стоит PCTOOLS CONTENT FILTER PROVIDER, да плюс еще avast!. Если в Outpost включена антивирусная компонента, то она может конфликтовать с монитором AVAST, аналогично с фильтрами трафика
pctools конфликтовал с outpost и я его выключил.
outpost работает только как фаервол(стоит на максимуме и запоролен)
avast только как антивирус
____ сделаю диагностику еще раз. спасибо за участие
Последний раз редактировалось e1t1; 25.10.2008 в 15:20.
Я загадаю вам загадку:
Есть например 30 разных антивирусов .Также есть
30 уникальных вирусов в колекции.
Каждый антивирус знает только 1 вирус из этой коллекции, а другие антивирусы его не знают.
Вопрос:Вы поставите все 30 антивирусов ?
2drongo
что сделано
1) отключены точки восстановления
2) в auslogic boost speed через редактор служб виндоус отключены аутпост(значок стал серым) и аваст
3) редактор служб показывает что pctools отключен(был бы включен с атупостом конфликтовал бы)
4) запущен ваш скрипт
5) ребут
6) загружается винда и что я вижу:
автоматическая маршрутизация ничего не маршрутизирут (cmd.exe вроде) (скорее всего это и есть та подмена о которой говорит AVZ)
отсутствие обоев - иконки на черном фоне и вот такие заявления
подключение к интернету стало невозможным!
и активизировался OAK, а до скрипта был отключен!!
попытался(попытка не пытка) востановить через безопасный режим и
при нажатии альт-Ф8(на DELL такая система) вошел в окно выбора безопасного режима и... а клава то не работает.
попытался просто откатить до последней удачной конфигурации - тоже не получилось, а раньше при отключеном востановлении последняя конфигурация востанавливалась. прошу вас, нет умоляю! перепишите скрипт, откатите систему обратно!
месторасположение AVZ c:\users\olbanec\desktop\avz4\avz4\quarantine
кстати:
В файле HOSTS какая-то странная запись - "::1 localhost"
возможно это указывает на то что на ноуте две оси?
убунта загружается через загрузчик висты.
пишу вам с линуха, но очень нужна виста в состояние "до скрипта" . поверьте, очень надо.
но раз уж ввязался в это дело, то вот вам последние логи сделаные как вы сказали. +
Результат загрузки
Файл сохранён как 081024_144233_2008-10-24_49022529a21a9.zip
Размер файла 18499978
MD5 dec19b7a443bb379e0a19a7eff59a397
Файл закачан, спасибо!
файл не запоролен как там просили. простите мою невнимательность-температура кроет.
надеюсь на вашу помощь. спасибо.
п.с. ask tool bar , bounjour, Groove и open office удалил перед диагностикой
Последний раз редактировалось e1t1; 25.10.2008 в 00:47.
да вроде не трогали ваш dell wireless. А переставить его есть возможность?
удалите полностью все программы защиты через панель управления.
само тронулось, да?
DeleteFile('C:\PROGRA~1\ADVANC~1\aKiller.dll'); это имеет отношение к авасту
DeleteFile('C:\Windows\System32\bcmwlrmt.dll') это имеет отношение к делл вайрлесс
DelBHO('{A692062A-11A1-461B-BE98-B520F01F96FC}') имеет отношение к
C:\PROGRA~1\ADVANC~1\aKiller.dll
короче, троянов и кейлогеров вы там не нашели?
и зачем я должен удалять все программы защиты?
вы можете написать скрипт который откатитит все назад - востановит удаленые файлы и из карантина вернет все на свои места? да/нет
п.с. попробовал с помощью авз вытащить файлы из карантина
dell wireless вроде востановилось, но все подключения стерлись, UAC никак не отключается. как вернуть все в состояние "до скрипта"?
п.п.с. uac никак не отключается ни через win+r. никак. зверски понижен в правах.
мой мозг kernel panic
Последний раз редактировалось e1t1; 25.10.2008 в 16:54.
Очень жаль, что компания делл не подписывает свои дрова.Виноват, поспешил.
Я так понял вы уже вернули работоспособность dell wireless.
*в любом случае в карантине вы найдёте файлы которые удалились.(нужно переименовать назад, в ini указано имя в оригинале)
Затем если в длл нет само -регистрации нужно в ручную зарегистрировать.Вот статья: http://www.tech-faq.com/register-dll.shtml
Можно програмой( Прикрепил регистартор с графическим интерфейсом, если с комнадной строкой не хотите возиться.
Само собой выбрать нужный файл в левом окошке и нажать на register ) , a можно вот так http://www.pronetworks.org/forum/abo...15bbd6557ef308
*ответа из лаба пока нет, так что уверенно сказать не можем был ли вирус или просто глюки из-за программ защиты.
*насчёт удаления ваших продуктов защиты- просто судя по описанию вами странных глюков- они могут быть виной, особенно когда продукты защиты с пересекающимися возможностями. Даже если отключены, драйвера то могут мешать друг другу.
новый глюк: открываю окно дефолтных игр и система подвисает, пишет что винда не отвечает и как то быстро рестартит. работающие программы закрываются.
по поводу aKiller.dll смотрел пути показывало что от это от аваста. может через дыру в авасте и впарили.
скорее всего и был руткит, потомучто лампочка процессора помигивала подозрительно, легкие тормоза были и какой то не понятный трафик/ в любом случае ответ из лабы сообщите.
но почему в результате исполнения скрипта винду покорежило так сильно?
насчёт удаления ваших продуктов защиты- просто судя по описанию вами странных глюков- они могут быть виной, особенно когда продукты защиты с пересекающимися возможностями. Даже если отключены, драйвера то могут мешать друг другу.
работало нормально все до недавнего времени.
если линух через загрузчик винды загружается, то если переустановить винду с форматированием линух тоже переустанвливать придется?
никакой настройки в висте не предусмотрено?
по поводу UAC пробовал и нормальным образом отключать и через msconfig.
в msconfig вообще какие то настройки левые стали и не меняются.
прогой Handy Recovery востановил два бэкапа один 3,5 гига второй почему то 300 кб(плохо востановился?)
каким макаром его вставить в system volume information? тотал командер пишет что system volume information работает и открыть нельзя. в безопасном режиме с командной строкой пишет что тоже прав нету.
как вставить бэкап в system volume information?
Вероятно вам просто везло и тут везение кончилось.Возможно скрипты авз послужили катализатором. Собственно, какая проблема попробовать все программы защиты удалить, всё равно ведь винда глючит.
Насчёт "как вставить бэкап в system volume information? " это по моему не предусмотрено. system volume information- это дело пошло с winme и до сих пор не довели до ума,возвращает не всё и то что возвращает и то не всегда.Я бы посоветовал посмотреть в сторону альтернатив.
Если ли линукс стоит на другом логическом диске то ничего страшного не случиться, максимум что произойдёт затрётся загрузчик линукса, возвращается за несколько минут.если не в курсе, у нас раздел линукса есть, если сами не найдёте, подскажем.
Вот если на одном и том же, то "труба".
Получился у вас слишком большой архив ( наверно забыли про него), я взял только файлы C:\PROGRA~1\ADVANC~1\aKiller.dll
C:\Windows\System32\bcmwlrmt.dll
и послал. Сказали что чистые. Извините за неудобство.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: