Ура :) А то руками эти ключи слишком муторно искать.
Printable View
Ура :) А то руками эти ключи слишком муторно искать.
Наконец-то. ;)
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[QUOTE=Павлик;427469][B]gjf[/B], эХ, поздно пить боржоми(это я про скрипт) .Авз уже снес. А если через каспера его сделать? Про оффтоп понял лезть в этот раздел не буду.[/QUOTE]
Ежели читаешь.
Мой компьютер - Диспетчер устройств -Показать скрытые файлы.
Там ты увидишь много интересного, и совет по выполнению скрипта очистки от следов AVZ тебе покажется не лишним.
С уважением, твой тезка.
Доброе!
Подскажите что это?
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
[B]Зайцев Олег[/B],
В сети ''гуляет сладкая парочка''
[B]FieryAds [/B]и [B]AdSubscribe[/B] (классическая adware программа) и куча инструкций как вычистить её.
[B]AVZ 4.30[/B] не определил её.
Kaspersky Virus Removal Tool не дает запустить [B]McAffe[/B].
Помог [B]Malwarebytes' Anti-Malware[/B] в паре с [B]Unlocker[/B].
Какие соображения, рекомендации и инструкции по этому поводу есть у тебя?
[QUOTE=DimaT;429149][B]Зайцев Олег[/B],
В сети ''гуляет сладкая парочка''
[B]FieryAds [/B]и [B]AdSubscribe[/B] (классическая adware программа) и куча инструкций как вычистить её.
[B]AVZ 4.30[/B] не определил её.
Kaspersky Virus Removal Tool не дает запустить [B]McAffe[/B].
Помог [B]Malwarebytes' Anti-Malware[/B] в паре с [B]Unlocker[/B].
Какие соображения, рекомендации и инструкции по этому поводу есть у тебя?[/QUOTE]
Решение тривиально - обратиться в раздел "Помогите" и там все полечат без проблем по логам
О скрипте
[QUOTE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\...\Application Data\AdSubscribe\AdSubscribe.dll','');
DeleteFile('C:\Documents and Settings\...\Application Data\AdSubscribe\AdSubscribe.dll');
DeleteFile('D:\autorun.inf');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/QUOTE]
читал, но ребята там все время ''модернизируют'' свою ''гадость''...
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[QUOTE=Зайцев Олег;429156]Решение тривиально - обратиться в раздел "Помогите" и там все полечат без проблем по логам[/QUOTE]
Так охота ''своими силами''... :)
[QUOTE=DimaT;429160]О скрипте
читал, но ребята там все время ''модернизируют'' свою ''гадость''...
Так охота ''своими силами''... :)[/QUOTE]
Скрипт не совсем корректный, если уже на то дело пошло ... я внес в базы AVZ эвристический детект всех видов этой заразы, сегодня вечером апдейт. Детект будет иметь примерно такой вид в логе:
[SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000]>>> C:\Documents and Settings\xxxxx\Application Data\AdSubscribe\AdSubscribe.dll ЭПС: подозрение на Adware.AdSubscribe (высокая степень вероятности)
[/COLOR][/SIZE][/COLOR][/SIZE]
Но так как это детект по косвенным признакам, то автоматом убиваться естественно ничего не будет.
[QUOTE]Но так как это детект по косвенным признакам, то автоматом убиваться естественно ничего не будет.[/QUOTE]
Всe-таки неплохо было бы иметь и какой-то полуавтоматический путь после обнаружения через AVZ эвристический детект... :>
Там птичка [B]удалять adware [/B]стоит с надеждой на это... :)
[QUOTE]Скрипт не совсем корректный[/QUOTE]
Уточни мысль...
Я его взял в разделе "Помогите"...
Есть ли что-то по этому поводу в планах у Kaspersky ?
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
На [URL="http://www.spyware-ru.com/udalit-adsubscribe/"]http://www.spyware-ru.com/udalit-adsubscribe/[/URL] программе [B]Avenge[/B] [I]подсовывают [/I]script:
[QUOTE]
Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AdSubscribe
Folders to delete:
%appdata%\FieryAds
%appdata%\AdSubscribe[/QUOTE]
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 44 минуты[/I][/B][/color][/size]
[QUOTE]я внес в базы AVZ эвристический детект всех видов этой заразы, сегодня вечером апдейт. Детект будет иметь примерно такой вид в логе[/QUOTE]
Прогнал сейчас.
Заподозрил только:
[QUOTE]C:\WINDOWS\system32\[B]ccasenp.dll[/B] --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\ccasenp.dll>>> Поведенческий анализ [/QUOTE]
Но ccasenp.dll - это законный module belonging to [B]ClearCase [/B]from IBM.
[QUOTE=DimaT;429390]
Но ccasenp.dll - это законный module belonging to [B]ClearCase [/B]from IBM.[/QUOTE]
На этот случай есть форма загрузки чистых файлов на данном форуме ... стоит ее использовать, и чистые файлы станут опознаваться как чистые
[QUOTE=Зайцев Олег;429512]На этот случай есть форма загрузки чистых файлов на данном форуме ... стоит ее использовать, и чистые файлы станут опознаваться как чистые[/QUOTE]
Taк я не жалуюсь, а только к сведению - отчет о проделанной работе... ;)
Сегодня на домашнем лептопе в конце выдало:
[QUOTE]Антивирусная утилита AVZ.Идет проверка, 100%
---------------------------
Access violation at address 8A09F7AC. Read of address 8A09F7AC.[/QUOTE]
Есть интерес к этому сбою?
[QUOTE=DimaT;429958]Сегодня на домашнем лептопе в конце выдало:
Есть интерес к этому сбою?[/QUOTE]
Стоит прогнать диск утилитой checkdisk - скорее всего, где-то что-то сбойное попалось на диска
[QUOTE=vistaorxpmoy;428106][B]Вышел СП2 для Висты.[/B]
АВЗ работает не полностью.
Или глюк не у компьютера(([/QUOTE]
1. AVZ следует запускать с правами админа (по правой кнопке)
2. Обновились базы AVZ - в них новый AVZGuard, который будет работать на Vista SP2
Странное сообщение при попытке обновления - уже сутки:
Другой источник указать пробовали?
Можете скачать базы отсюда [URL="http://z-oleg.com/secur/avz_up/avzbase.zip"]http://z-oleg.com/secur/avz_up/avzbase.zip[/URL].
Так же проверьте, может что-то блочит скачку. У меня всё нормально, проблем нет.
Спасибо, теперь обновилось нормально :)
Вопрос - я сделал и загрузил архив для базы безопасных файлов, но ряд файлов не были отправлены в карантин (вроде бы).
Опасно ли это?
Нужно ли их тоже отправить на проверку в базу безопасных файлов?
Как это сделать?
Лог выполнения скрипта № 4 прилагаю.
Спасибо :)
Тут у меня BitDefender сглючил (потом разобрался, при обновлении на новую версию, был сбой) решил проверить АВЗ, так он целую кучу файлов Бита, затолкал в карантин, и AVP туда же, что то надо делать.
[URL="http://www.virustotal.com/ru/analisis/79785e0a0ac5981911dc9edcd8064de61096c675a9ccde282193fc6e03d9d79d-1247420552"]virustotal[/URL]
Файл сохранён как 090712_164140_virus_4a59da04344ff.zip
Размер файла 294540
MD5 0f72a412f25de8d159f8672e64e2f220
[QUOTE]Обнаружено
----------
Статус Объект
------ ------
обнаружено: вирус Heur.Trojan.Generic (модификация) Файл: c:\program files\bitdefender\bitdefender 2009\ieshow.exe
обнаружено: вирус Heur.Trojan.Generic (модификация) Файл: C:\Documents and Settings\Tany\Рабочий стол\bitdefender_antivirus_2009_32b.exe//data0000.cab/bdav.msi//bdprof.cab.AE3C3951_7A91_4185_B6E7_BA9F78BFE365//IEShow.exe[/QUOTE]
А для АВП лог в 38 мб., это нормально?
[QUOTE]Почему-то перестал соединяться с Интернетом RSS-плагин для The Bat и wfx-плагин для Total Commander MSIECashe не видит кэша вообще.
Это может быть от AVZ?[/QUOTE]
Проблема решена - АВЗ тут не при чём - настройки плагина для ТК включили автономный режим в ИЭ - и плагин для Бата перестал работать - а я, сидя под FireFox, этого переключения не увидел... :))
Предлагаю в протоколе исследования системы выводить содержимое параметра PendingFileRenameOperations, так как некоторые зловреды используют трюки с переименованием файлов для выживания при попытке удаления.
[QUOTE=kps;430854]Предлагаю в протоколе исследования системы выводить содержимое параметра PendingFileRenameOperations, так как некоторые зловреды используют трюки с переименованием файлов для выживания при попытке удаления.[/QUOTE]если бы ещё блокировал такие действия- было бы вообще классно ;)