-
не срабатывает скрипт AVZ
Чесно говоря,не думаю,что это сообщение подходит для этого раздела,но модератор направил сюда.Суть проблемы: прошу помощи у специалистов:
Имеется в наличии зловред fun.xis.exe.При запуске создает процесс algsrvs.exe;вносятся записи в реестр через ключ Run для загрузки msime82.exe и msfun80.exe;создаются файлы fun.xis.exe и AUTORUN.INF на диске C:.Я накропал скрипт для удаления,но AVZ не удаляет их!
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('PE386');
BC_DeleteSvc('algsrvs');
DeleteFile('C:\fun.xis.exe');
DeleteFile('C:\WINDOWS\system32\msime82.exe');
DeleteFile('C:\WINDOWS\system32\msfun80.exe');
DeleteFile('C:\WINDOWS\system32\algsrvs.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
после перезагрузки все файлы на местах
Подскажите,что здесь неправильно?
HijackThis все удаляет в такой последовательности;
1 Пофиксил строчки автозапуска для msime82.exe и msfun80.exe
2 Убил процесс algsrvs.exe
3 запланировал удаление с перезагрузкой для algsrvs.exe,fun.xis.exe,msime82.exe,msfun80.exe
и все в порядке...
А с AVZ не получается...
Последний раз редактировалось barsukRed; 08.06.2007 в 10:44.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Вы сами-то логи просматривали?
Там нет ни намека на те файлы, о которых вы говорите.
Система абсолютно чистая.
I am not young enough to know everything...
-
-
Да вопрос то в другом.Не удаляются злофайлы с помощью AVZ... HijackThis-ом я их вычистил.
Последний раз редактировалось barsukRed; 14.05.2007 в 17:11.
-
Ну не знаю, в скрипте все правильно написано, должны были удалиться.
Если есть желание поэкспериментировать, оживите зверя еще раз и сделайте логи, а мы полечим
I am not young enough to know everything...
-
-
А логи из той-же системы сделаны? Намека на зловредов нет. А ручками не пробовали удалять?
-
-
Сообщение от
Alex_Goodwin
А логи из той-же системы сделаны? Намека на зловредов нет. А ручками не пробовали удалять?
Руками удаляются хорошо.Я тренировался в написании скриптов для AVZ и обнаружил что скрипт не работает для этого зверя...Зверь то не серьезный,я его и выбрал из-за нестыковки его описания работы в интернете и моих наблюдений.
-
Комп заражен,SSM не запущен,логи прилагаю.
Последний раз редактировалось barsukRed; 08.06.2007 в 10:49.
-
Ну пробуйте, неужто не прибъет?
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\algsrvs.exe');
DeleteFile('C:\WINDOWS\system32\msfun80.exe');
DeleteFile('C:\WINDOWS\system32\msime82.exe');
DeleteFile('C:\fun.xis.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
I am not young enough to know everything...
-
-
Вдогонку, два уточнения: виден не только System Safety Monitor, но и куски от Process Guard; версия AVZ в логах 4.24 , актуальная - 4.25.
-
-
Process Guard у меня стоит,пользуюсь им.версия AVZ 4.24 это верно,но неужели разница настолько серьезная?Cкрипт применил-все по старому.SSM если включу-он зверя прибьет.Лечить HijackThis-ом?
-
AVZ 4.24 это верно,но неужели разница настолько серьезная
В каждой версии добавляются новые функции для лечения системы. Хелперы пишут скрипты исходя из того, что у клиента установлена самая последняя версия. Попробуйте выполнить написаный для Вас скрипт в новой версии AVZ.
-
-
Попробуйте все-таки версию 4.25, может какой-то глюк был в 24-й.
I am not young enough to know everything...
-
-
Хорошо,я все понял.Качаю 4.25.А в чем отличие скрипта 4.24 от 4.25(не любопытства ради а накопления знаний... )
-
В данном случае отличий нет, но иногда они бывают.
-
-
спасибо
-
В новой версии скрипт сработал?
-
-
Попробую завтра,спасибо за отзывчивость
-
Сообщение от
MaXim
В новой версии скрипт сработал?
Да,в новой версии скрипт работает.Большое всем спасибо за участие. логи проверил-все чисто.
-
Сообщение от
Bratez
Ну пробуйте, неужто не прибъет?
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\algsrvs.exe');
DeleteFile('C:\WINDOWS\system32\msfun80.exe');
DeleteFile('C:\WINDOWS\system32\msime82.exe');
DeleteFile('C:\fun.xis.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Bratez,извините меня за беспокойство,но я никак не могу понять.как Вы определили этот адрес DeleteFile('C:\fun.xis.exe');?Ведь упоминания в логах на fun.xis.exe нигде нет!
-
А Вы перечитайте свой собственный пост #1 и свой собственный скрипт.
I am not young enough to know everything...
-