Printable View
Сегодня встретилось у клиента в реале: пропали все значки в трее. В логе AVZ соответственно об этом сказано. Запускаю Мастер поиска и устранения проблем, проблема находится, нажимаю "исправить", выполняется, перезагружаюсь - значков как не было, так и нет. Запускаю XP Tweaker, и все исправляется двумя тычками мыши. Есть подозрение, что в AVZ Мастер где-то не срабатывает. Олег, проверьте пожалуйста!
Олег, скажите, плз, есть ли в плагине AVZ для The Bat! цифровая подпись, без которой он не сможет работать с Бат 4-х версий:
[URL]http://allbat.info/news-273/[/URL]
Возникла след. проблема
На системе стоит ссылка на отсутствующий файл в Winlogon Notify
HJT
O20 - Winlogon Notify: reset5 - reset5.dll (file missing)
AVZ
reset5.dll
Активен Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\reset5, DLLName
Я пробую удалить эту ссылку скриптом
begin
DelWinlogonNotifyByFileName('reset5.dll');
RebootWindows(true);
end.
но она не удалается, в след. логах то же самое.
Понятно, что можно отключить в HJT, но почему не работает скрипт?
Это моя ошибка или ограничение AVZ?
DelAutorunByFileName тоже не работает, я уже писал об этом. Видимо они связаны.
[b]psw[/b]
Можно и без DelWinlogonNotifyByFileName...
[code]begin
RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\reset5');
end.[/code]
[B]rubin[/B]
Так я тоже могу :)
Или DelWinlogonNotifyBy[b]Key[/b]Name(); ;)
[quote=Bratez;190767]Или DelWinlogonNotifyBy[B]Key[/B]Name(); ;)[/quote]
Вот именно ...
DelWinlogonNotifyByKeyName - убивает Winlogon вхождение по имени ключа, рекомендуется, когда имя файла точно не известно или пустое. В данном случае именно эту функцию и нужно было применять
DelWinlogonNotifyByFileName - убивает Winlogon вхождение по имени файла, применяется тогда, когда имя файла точно известно.
Логика работы DelWinlogonNotifyByFileName такова:
1. Сканируются все ключи в SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\, для каждого ключа ищется парметр DllName. Если такового нет, то ключ игнорируется
2. Если находится ключ с DllName, то считывается его значение и изучается на предмет того, есть там путь или только голое имя. Если путь есть, то не делаем ничего. Если нет - ищем файл с таким именем в системной папке, если найдем - приделываем к имени путь
3. Сравниваем имя файла, переданное в качестве параметра и имя файла, добытое на шаге 2 без учета регистра. Если найденное на шаге 2 имя файла заканчается на образец, который передан в качестве параметра, то считаем, что мы нашли вхождение WInlogon и оно убивается. Такое сравнение позволяет задавать имя как скажем cscdll.dll, или system32\cscdll.dll, или полный путь\cscdll.dll - сработает в любом варианте.
Естественно, что
1. Нужно иметь права админа (особенно в Vista)
2. Не должнобыть активного процесса, выполняющего восстановление ключа
Олег, тогда, я считаю, нужно проверять и писать в протоколе Исследования Системы в таком случае, что reset5.dll не найден на диске, чтобы человек, пишуший скрипт, использовал не DelWinlogonNotifyByFileName, а DelWinlogonNotifyByKeyName для удаления элемента Winlogon.
[quote=kps;190844]Олег, тогда, я считаю, нужно проверять и писать в протоколе Исследования Системы в таком случае, что reset5.dll не найден на диске, чтобы человек, пишуший скрипт, использовал не DelWinlogonNotifyByFileName, а DelWinlogonNotifyByKeyName для удаления элемента Winlogon.[/quote]
Для DelWinlogonNotifyByFileName наличие файла на диске не требуется - нужно просто указывать имя файло в точности так, как оно есть (или указывать только имя файла, без пути).
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
[quote=Nick222;190349]Олег, скажите, плз, есть ли в плагине AVZ для The Bat! цифровая подпись, без которой он не сможет работать с Бат 4-х версий:
[URL]http://allbat.info/news-273/[/URL][/quote]
Цифровой подписи там нет, но с 4.xx он работает и без нее
[QUOTE=Зайцев Олег;190877]Для DelWinlogonNotifyByFileName наличие файла на диске не требуется - нужно просто указывать имя файло в точности так, как оно есть (или указывать только имя файла, без пути).
[/QUOTE]
Так [b]psw[/b] в этом посте [url]http://virusinfo.info/showpost.php?p=190557&postcount=323[/url] же вроде правильно указал имя файла в скрипте, почему у него тогда элемент Winlogon не удалился? Он написал DelWinlogonNotifyByFileName('reset5.dll');
И еще вопрос по поводу скриптов:
Известно, что команда скрипта BC_ImportDeletedList импортирует в настройки BC список удаленных файлов, описанных в командах DeleteFile(которых может быть несколько). Планируется ли расширение этой функции BC_ImportDeletedList для удобства? Т.е. чтобы она импортировала в BC не только список удаленных файлов из команд DeleteFile, но и ещё список удаляемых ключей реестра, BHO, служб и т.д. из следующих команд (или хотя бы из некоторых из них):
DelCLSID
DelBHO
DeleteService
DelWinlogonNotifyByFileName
DelWinlogonNotifyByKeyName
DelAutorunByFileName
RegKeyDel
RegKeyParamDel
DeleteDirectory
DeleteFileMask
Ведь есть же команды для BC:
BC_DeleteReg
BC_DeleteSvcReg
BC_DeleteSvc
К примеру, если импортировать в BC список удаляемых ключей реестра из RegKeyDel, то получится то же самое, что дает и команда BC_DeleteReg и т.д.
[QUOTE=kps;190890]Т.е. чтобы она импортировала в BC не только список удаленных файлов из команд DeleteFile, но и ещё список удаляемых ключей реестра, BHO, служб и т.д.[/QUOTE]
А зачем это делать?
[QUOTE=kps;190890]К примеру, если импортировать в BC список удаляемых ключей реестра из RegKeyDel, то получится то же самое, что дает и команда BC_DeleteReg и т.д.[/QUOTE]
В чем тут плюс я не уловил. Поясните.
Интересно, а что означает строка в протоколе про отладчик процесса, впервые появившаяся после сегодяшнего (точнее, уже вчерашнего) обновления AVZ
...
7. Эвристичеcкая проверка системы
Опасно - отладчик процесса "Your Image File Name Here without a path" = "ntsd -d"
[QUOTE=Синауридзе Александр;191045]А зачем это делать?
В чем тут плюс я не уловил. Поясните.[/QUOTE]
Для удобства.
Возьмем к примеру такой скрипт
begin
DeleteFile('C:\trojan.exe');
DeleteService('troj', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('troj');
BC_Activate;
RebootWindows(true);
end.
В нем BC_ImportDeletedList импортирует информацию об удаляемом файле в BC, поэтому не надо дополнительно писать BC_DeleteFile('C:\trojan.exe');
Что касается DeleteService('troj', true);, так вот информацию об удаляемой службе "troj" команда BC_ImportDeletedList в настройки BC не импортирует, поэтому надо дополнительно писать BC_DeleteSvc('troj'), чтобы удалить эту службу на всякий случай еще и через BC. А вот если сделать так, чтобы команда BC_ImportDeletedList добавляла в настройки BC еще и информацию о службе для удаления, то тогда было бы удобнее, я считаю. В этом случае не нужно было бы писать в скрипт команду BC_DeleteSvc('troj').
ничего зловредного не видно , зато есть такое :
Опасно - отладчик процесса "Your Image File Name Here without a path" = "ntsd -d"
Что сиё значит ?
6 ,9 думаете поможет?
[url]http://virusinfo.info/showthread.php?t=18403[/url]
[quote=drongo;191199]ничего зловредного не видно , зато есть такое :
Опасно - отладчик процесса "Your Image File Name Here without a path" = "ntsd -d"
Что сиё значит ?
6 ,9 думаете поможет?
[URL]http://virusinfo.info/showthread.php?t=18403[/URL][/quote]
Это злобный отладчик, который всех поймает и отладит :)
Если серьезно - это следствие "закручивания гаек" в эвристике, это балванка-заглушка, на примере которой MS показывает, как подключать отладчики к процессам. Если запустить скрипт 9, то он его "вылечит", хотя естественно влияния никакого на систему это не окажет.
[QUOTE=drongo;191199]ничего зловредного не видно , зато есть такое :
Опасно - отладчик процесса "Your Image File Name Here without a path" = "ntsd -d"
Что сиё значит ?
6 ,9 думаете поможет?
[url]http://virusinfo.info/showthread.php?t=18403[/url][/QUOTE]
Видимо, ошибка в AVZ, см.
[url]http://virusinfo.info/showthread.php?t=18211[/url]
После обновления AVZ при проверке процессов появляются строки вида
Анализатор - изучается процесс 2840 C:\VS80\Common7\IDE\devenv.exe
[ES]:Возможно Malware, нейрооценка = 5000
Вопрос: а нейрооценка 5000 - это много или мало? Если какие-либо рекомендованные граничные значения такой оценки?
Пользуюсь AVZ на своем компе уже более полугода, проблем с обновлением баз и лечением не возникало. сегодня установил AVZ на ноуте система Windows xp, обновил базы, после лечения пропали все сетевые подключения значки на рабочем столе ("телевизоры"), захожу в системную папку "сетевое окружение" жму отбразить сетев. подключения, ничего не отображается папка пустая выходит сообщение - "не удается поместить список сетевых устройств компьютера в папку "сетевые подключения". Проверьте, что служба сетевых подключений включена и выполняется." Что нужно мне сделать? инет после этого тоже не работает.
[quote=psw;192037]После обновления AVZ при проверке процессов появляются строки вида
Анализатор - изучается процесс 2840 C:\VS80\Common7\IDE\devenv.exe
[ES]:Возможно Malware, нейрооценка = 5000
Вопрос: а нейрооценка 5000 - это много или мало? Если какие-либо рекомендованные граничные значения такой оценки?[/quote]
Это оценка, выставляемая нейросеткой по разным критериям, выводится редко, чем больше-тем хуже. В данном случае файл не опасен - но что-то там в собранных по нему данных нейросетке не понравилось
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[quote=astra77;192395]Пользуюсь AVZ на своем компе уже более полугода, проблем с обновлением баз и лечением не возникало. сегодня установил AVZ на ноуте система Windows xp, обновил базы, после лечения пропали все сетевые подключения значки на рабочем столе ("телевизоры"), захожу в системную папку "сетевое окружение" жму отбразить сетев. подключения, ничего не отображается папка пустая выходит сообщение - "не удается поместить список сетевых устройств компьютера в папку "сетевые подключения". Проверьте, что служба сетевых подключений включена и выполняется." Что нужно мне сделать? инет после этого тоже не работает.[/quote]
Лечение, нейтрализация руткитов и т.п. было включено или нет ? Если лечение отключено, то AVZ вообще никак не вмешивается в работу системы ... если вмешивается, то в логе обезательно об этом пишется