Printable View
[B]yur4egg[/B], цель всё-таки какая: кидо прибить, или исследовать его работу? Если первое - kidokiller от ЛК - и все дела. Если второе - прочтите для начала описание вируса где-нибудь на [URL="http://www.securelist.com/ru/"]http://www.securelist.com/ru/[/URL]. Да и здесь в разделе "помогите" есть темы, где можно скрипт для зачистки этой модификации kido найти. Но чтобы все хвосты от него вычистить, лучше kidokiller, он всё вавтомате сделает.
[QUOTE='yur4egg;706974']Как обнаружить, к какому процессу она прикрепилась?[/QUOTE] AVZ Сервис - Диспетчер процессов. В нижней части смотреть.
[QUOTE=Vvvyg;707007][B]yur4egg[/B], цель всё-таки какая: кидо прибить, или исследовать его работу? Если первое - kidokiller от ЛК - и все дела. Если второе - прочтите для начала описание вируса где-нибудь на [URL="http://www.securelist.com/ru/"]http://www.securelist.com/ru/[/URL]. Да и здесь в разделе "помогите" есть темы, где можно скрипт для зачистки этой модификации kido найти. Но чтобы все хвосты от него вычистить, лучше kidokiller, он всё вавтомате сделает.[/QUOTE]
осмелюсь добавить.
в [QUOTE]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[B]kido_service_name[/B]\Parameters[/QUOTE] должен быть параметр ServiceDll, со значением, указывающим на злодейскую DLL. Сам сервис давно определяется AVZ по нестандартным правам доступа. Искать нужно, как правильно сказал PavelA, среди DLL, приаттаченых к процессам. Для пущей быстрости исследуйте экземпляры svchost, это немного ускорит поиск.
Хотя, баян это все. Где это все берется?
[QUOTE=PavelA;707020]AVZ Сервис - Диспетчер процессов. В нижней части смотреть.[/QUOTE]
Я так и смотрю. В описании прочитал, что кидо цепляет свою длл к процессу svchost.exe. Все экземпляры в диспетчере прощелкал, ни в одном зловредная длл не видна. Собственно в том и состоял вопрос, почему не видна? Раньше таким способом определялись пораженные системные процессы, а в этом случае - нет. А червя я вычистил, спасибо за советы)
Если в AVZ не видно можно попробовать через утилиты от Русиновича, там не цепляется база "доверенных" и информации отображается больше.
Второе и основное: червь может защищать свою компоненту. Из-за этого она виндна как "прямое чтение".
Вопрос автору AVZ
В последней версии AVZ при использовании в скрипте команды SetupAVZ('MiniLog=Y') не подавляется вывод некоторой некритической информации при работе скриптовой команды SaveLog('avz.log'), например, в протокол сохраняются следующие строки:
1.5 Проверка обработчиков IRP
Проверка завершена
Анализатор - изучается процесс 388 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe
Можно это пофиксить?
Команда скрипта SaveCSVLog('avz.csv') при использовании команды SetupAVZ('MiniLog=Y') не работает полноценно (т.е. сохраняются какие-то несколько строк, а не весь протокол критической информации).
Команда SaveCSVLog больше не поддерживается?
[QUOTE='Vorland;713252']Вопрос автору AVZ[/QUOTE] К сожалению, автор покинул форум. Задавайте вопросы на его сайте.
Там есть форум? Если нет, то где задавать вопросы?
[url]http://forum.kaspersky.com/index.php?showforum=150[/url] наверное здесь
Подскажите пожалуйста, можно ли через скрипты AVZ отключить ненужные мне сервисы Windows XP? Точнее так - как можно создать скрипт для отключения ненужных сервисов Windows XP?
[B]dm2003[/B], [code]SetServiceStart('Service_Name', 4) [/code] подойдет?
А что дальше? Мне к примеру нужно отключить обновление, брэндмауэр, удаленный реестр и еще немного. Если можно поподробнее пожалуйста.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Разобрался, спасибо. Да это именно то. спасибо вам за помощь. Удачи.
Нашёл ключ реестра, через который вирусы могут перенаправлять пользователя со страниц about:* (в том числе и с about:blank) на любой сайт:
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs
Не мешало бы в следующей версии AVZ сделать проверку этого ключа.
[QUOTE=PavelA]К сожалению, автор покинул форум. Задавайте вопросы на его сайте. [/QUOTE]
Да что же на напасть такая((((
Не удается "установить драйвер расширенного мониторинга процессов".
Ошибки не выдает, просто не устанавливается
Запуск от имени администратора.
AVZ версия 4.35 от 25.08.2010
Windows 7 Ult rus x64
Kaspersky AVWorkst v. 6.0.4.1424a
[QUOTE='AlexSidore;732125']Ошибки не выдает, просто не устанавливается
Запуск от имени администратора.
AVZ версия 4.35 от 25.08.2010
Windows 7 Ult rus x64
Kaspersky AVWorkst v. 6.0.4.1424a [/QUOTE]А кто вам сказал что в АВЗ есть поддержка 64-х битных ОС?
Вот из справки АВЗ
[QUOTE]Технологии AVZPM, AVZGuard, BootCleaner не поддерживаются в Win 9x и в 64-bit версиях операционных систем XP/Vista/Win7. [/QUOTE]
Не могу сделать ни один лог AVZ стандартными скриптами в Windows 7 x64.
AVZ практически сразу падает, KIS2011 выгружен.
Какую информацию нужно предоставить, чтобы разобраться с проблемой?
Пробовал полиморфный AVZ по ссылке [url]http://www.z-oleg.com/avz.exe[/url] аналогично падает. См. скриншот.
Выполняются только стандартные скрипты 4,5. Иногда
при запуске стандартного скрипта наблюдаются пикающие звуковые эффекты из колонок, avz падает.
Может проблема уже известна? Win7 x64 не поддерживается?
AVZ падает из-за того, что Технологии AVZPM, AVZGuard, BootCleaner
не поддерживаются в Win 9x и в 64-bit версиях операционных систем XP/Vista/Win7?
Мастер поиска и устранения проблем отрабатывает нормально.
Вот ещё на всякий случай
[QUOTE='fidget;735060']Может проблема уже известна? Win7 x64 не поддерживается?[/QUOTE]
Читаем сообщение выше:
Вот из справки АВЗ
Цитата:Технологии AVZPM, AVZGuard, BootCleaner не поддерживаются в Win 9x и в 64-bit версиях операционных систем XP/Vista/Win7.
Разработчику. Проверьте восстановление проводника. В частности восстановление ключа реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]. Значение "Userinit"="C:\\Windows\\system32\\userinit.exe,". Не на всех системах срабатывают значения с %systemdir% вместо указания полного пути.