Обсуждения, изменения и дополнения к темам раздела Чаво.

Поставлю на виртуалку и потестирую, спасибо.

Погонял AVG - компонент "Антивирус" выключить негде, можно временно отключить только Resident Shield и Firewall (из того, что нужно отключить).

P.S. Нагуглил [URL="http://www.avg.com/ru-ru/faq?num=1209"]ссылку на FAQ с официального сайта программы[/URL]. Можно разместить скриншот и ссылку на официальный FAQ.

Добавил информацию [URL="http://virusinfo.info/showthread.php?t=57441"]в статью[/URL].

[QUOTE='rubin;488083']Можно добавить сюда [url]http://virusinfo.info/showthread.php?t=16646[/url] в первый пост к DrWeb[/QUOTE]
Добавлено.

[URL="http://virusinfo.info/showthread.php?t=43700"][B]%fystemroot% или "Где мой Windows Update?"[/B][/URL]

Я подточил скрипт для исправления проблемы с [B]%fystemroot%[/B] (сделал его более универсальным) - может кому-нибудь пригодится...
Вот сам скрипт AVZ:
[CODE]var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.[/CODE]

[QUOTE='Ingener;490812']Я подточил скрипт для исправления проблемы с %fystemroot% [/QUOTE]
Да вроде бы тот троян неактивные контролсеты не трогает... Хотя могу ошибаться. Когда попадется очередной случай, надо попробовать - протокол покажет.

[QUOTE=Bratez;490829]Да вроде бы тот троян неактивные контролсеты не трогает... Хотя могу ошибаться. Когда попадется очередной случай, надо попробовать - протокол покажет.[/QUOTE]
Вот спёр отчёт с другого форума - они там искали изменённые ключи с помощью какой-то там утилиты и правили их потом вручную:
[CODE]Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 14.04.2009 19:13:34 for strings:
; 'fystemroot'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BITS]
; Contents of value:
; %fystemRoot%\system32\svchost.exe -k netsvcs
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wuauserv]
; Contents of value:
; %fystemroot%\system32\svchost.exe -k netsvcs
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BITS]
; Contents of value:
; %fystemRoot%\system32\svchost.exe -k netsvcs
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wuauserv]
; Contents of value:
; %fystemroot%\system32\svchost.exe -k netsvcs
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\controlset004\Services\BITS]
; Contents of value:
; %fystemRoot%\system32\svchost.exe -k netsvcs
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\controlset004\Services\wuauserv]
; Contents of value:
; %fystemroot%\system32\svchost.exe -k netsvcs
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS]
; Contents of value:
; %fystemRoot%\system32\svchost.exe -k netsvcs
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
; Contents of value:
; %fystemroot%\system32\svchost.exe -k netsvcs
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

; End Of The Log...[/CODE]
Хотя поиск изменённых ключей можно и в AVZ элементарно организовать:
[CODE]begin
RegSearch('HKLM', 'System', 'fystemRoot');
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.[/CODE]

По этой причине и был доработан скрипт, так как они мне на том форуме заявили что я не полностью исправляю проблему и нужно доработать скрипт... :)

[QUOTE='Bratez;490829']Да вроде бы тот троян неактивные контролсеты не трогает...[/QUOTE][B]Bratez[/B], давно я хотел на обратить внимание, что надо смотреть и неактивные ControlSet. Стоит попросить пользователя поискать, например, с помощью IceSword

Прецедент не заставил себя ждать:
[url]http://virusinfo.info/showthread.php?t=58019[/url]
Действительно, неактивные контролсеты тоже надо править.

[QUOTE='Ingener;490812']Я подточил скрипт для исправления проблемы с %fystemroot% (сделал его более универсальным) - может кому-нибудь пригодится...[/QUOTE]
[QUOTE='Bratez;490829']Да вроде бы тот троян неактивные контролсеты не трогает... Хотя могу ошибаться.[/QUOTE]
[QUOTE='Bratez;491677']Действительно, неактивные контролсеты тоже надо править.[/QUOTE]
Добавил скрипт [B]Ingener[/B] в [URL="http://virusinfo.info/showthread.php?t=43700"]тему[/URL]

подскажите пожалуйста как удалить Dragon Jumper, а то хз откуда на компе у юзера появилась эта гадость вместе с Бонджормом, ман по удаления 2ого у вас на ресурсе нашёл. а первного не встретил, и гугл чт ото не раскрывает своих секретов
заранее спасибо

[QUOTE='pog0;496201']и гугл чт ото не раскрывает своих секретов[/QUOTE]
Мы наши секреты раскрываем в "Помогите!"
Туда - три лога, обратно - скрипты для лечения.

я просто думал это что то типо Bonjour Service с подобным маном удаления

В тему о Combofix надо добавить описание процедуры деинсталляции программы.

[B]Matias[/B] время придет добавим.:)

[URL="http://virusinfo.info/showthread.php?t=43700"][B]%fystemroot% или "Где мой Windows Update?"[/B][/URL]

Замените пожалуйста скрипт на новый (этот более грамотно написан):
[CODE]var
i : integer;
KeyList : TStringList;
begin
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then
begin
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
KeyList.Free;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.[/CODE]

Хммм... Открыл тему, а отредактировать не могу, кнопочки нет. С чего бы это? Прошлый раз все нормально было.

Я вчера менял права, возможно что-то пропустил. Вечером погляжу.

Вроде договаривались, что тут только модер редактирует.

Тем не менее, возможность писать была даже у студентов, как мы видели.

В настройки прав внесены изменения.
Создавать темы в данном разделе, редактировать и удалять чужие сообщения может модератор раздела, супермодераторы и администраторы. Ветка "Обсуждения, изменения и дополнения к темам раздела Чаво" доступна для ответов всем участникам форума.

[URL="http://virusinfo.info/showthread.php?t=59252"][B]Как удалить неудаляемую папку?[/B][/URL]
Я тут немножко доработал скрипт - простому пользователю так может будет понятнее:
[CODE]var
Directory : string;
begin
Directory := InputBox('Внимание', 'Введите полный путь к удаляемой папке:', 'Например: D:\127a$5376d86g45c3');
if MessageDLG('Вы действительно хотите безвозвратно удалить папку "'+Directory+'" ?', mtConfirmation, mbYes+mbNo, 0) = 6 then
begin
SetAVZGuardStatus(True);
DeleteFileMask(Directory,'*.*',true);
DeleteDirectory(Directory);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end;
end.[/CODE]