Printable View
Сегодня встретилось у клиента в реале: пропали все значки в трее. В логе AVZ соответственно об этом сказано. Запускаю Мастер поиска и устранения проблем, проблема находится, нажимаю "исправить", выполняется, перезагружаюсь - значков как не было, так и нет. Запускаю XP Tweaker, и все исправляется двумя тычками мыши. Есть подозрение, что в AVZ Мастер где-то не срабатывает. Олег, проверьте пожалуйста!
Олег, скажите, плз, есть ли в плагине AVZ для The Bat! цифровая подпись, без которой он не сможет работать с Бат 4-х версий:
[URL]http://allbat.info/news-273/[/URL]
Возникла след. проблема
На системе стоит ссылка на отсутствующий файл в Winlogon Notify
HJT
O20 - Winlogon Notify: reset5 - reset5.dll (file missing)
AVZ
reset5.dll
Активен Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\reset5, DLLName
Я пробую удалить эту ссылку скриптом
begin
DelWinlogonNotifyByFileName('reset5.dll');
RebootWindows(true);
end.
но она не удалается, в след. логах то же самое.
Понятно, что можно отключить в HJT, но почему не работает скрипт?
Это моя ошибка или ограничение AVZ?
DelAutorunByFileName тоже не работает, я уже писал об этом. Видимо они связаны.
[b]psw[/b]
Можно и без DelWinlogonNotifyByFileName...
[code]begin
RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\reset5');
end.[/code]
[B]rubin[/B]
Так я тоже могу :)
Или DelWinlogonNotifyBy[b]Key[/b]Name(); ;)
[quote=Bratez;190767]Или DelWinlogonNotifyBy[B]Key[/B]Name(); ;)[/quote]
Вот именно ...
DelWinlogonNotifyByKeyName - убивает Winlogon вхождение по имени ключа, рекомендуется, когда имя файла точно не известно или пустое. В данном случае именно эту функцию и нужно было применять
DelWinlogonNotifyByFileName - убивает Winlogon вхождение по имени файла, применяется тогда, когда имя файла точно известно.
Логика работы DelWinlogonNotifyByFileName такова:
1. Сканируются все ключи в SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\, для каждого ключа ищется парметр DllName. Если такового нет, то ключ игнорируется
2. Если находится ключ с DllName, то считывается его значение и изучается на предмет того, есть там путь или только голое имя. Если путь есть, то не делаем ничего. Если нет - ищем файл с таким именем в системной папке, если найдем - приделываем к имени путь
3. Сравниваем имя файла, переданное в качестве параметра и имя файла, добытое на шаге 2 без учета регистра. Если найденное на шаге 2 имя файла заканчается на образец, который передан в качестве параметра, то считаем, что мы нашли вхождение WInlogon и оно убивается. Такое сравнение позволяет задавать имя как скажем cscdll.dll, или system32\cscdll.dll, или полный путь\cscdll.dll - сработает в любом варианте.
Естественно, что
1. Нужно иметь права админа (особенно в Vista)
2. Не должнобыть активного процесса, выполняющего восстановление ключа
Олег, тогда, я считаю, нужно проверять и писать в протоколе Исследования Системы в таком случае, что reset5.dll не найден на диске, чтобы человек, пишуший скрипт, использовал не DelWinlogonNotifyByFileName, а DelWinlogonNotifyByKeyName для удаления элемента Winlogon.
[quote=kps;190844]Олег, тогда, я считаю, нужно проверять и писать в протоколе Исследования Системы в таком случае, что reset5.dll не найден на диске, чтобы человек, пишуший скрипт, использовал не DelWinlogonNotifyByFileName, а DelWinlogonNotifyByKeyName для удаления элемента Winlogon.[/quote]
Для DelWinlogonNotifyByFileName наличие файла на диске не требуется - нужно просто указывать имя файло в точности так, как оно есть (или указывать только имя файла, без пути).
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
[quote=Nick222;190349]Олег, скажите, плз, есть ли в плагине AVZ для The Bat! цифровая подпись, без которой он не сможет работать с Бат 4-х версий:
[URL]http://allbat.info/news-273/[/URL][/quote]
Цифровой подписи там нет, но с 4.xx он работает и без нее
[QUOTE=Зайцев Олег;190877]Для DelWinlogonNotifyByFileName наличие файла на диске не требуется - нужно просто указывать имя файло в точности так, как оно есть (или указывать только имя файла, без пути).
[/QUOTE]
Так [b]psw[/b] в этом посте [url]http://virusinfo.info/showpost.php?p=190557&postcount=323[/url] же вроде правильно указал имя файла в скрипте, почему у него тогда элемент Winlogon не удалился? Он написал DelWinlogonNotifyByFileName('reset5.dll');
И еще вопрос по поводу скриптов:
Известно, что команда скрипта BC_ImportDeletedList импортирует в настройки BC список удаленных файлов, описанных в командах DeleteFile(которых может быть несколько). Планируется ли расширение этой функции BC_ImportDeletedList для удобства? Т.е. чтобы она импортировала в BC не только список удаленных файлов из команд DeleteFile, но и ещё список удаляемых ключей реестра, BHO, служб и т.д. из следующих команд (или хотя бы из некоторых из них):
DelCLSID
DelBHO
DeleteService
DelWinlogonNotifyByFileName
DelWinlogonNotifyByKeyName
DelAutorunByFileName
RegKeyDel
RegKeyParamDel
DeleteDirectory
DeleteFileMask
Ведь есть же команды для BC:
BC_DeleteReg
BC_DeleteSvcReg
BC_DeleteSvc
К примеру, если импортировать в BC список удаляемых ключей реестра из RegKeyDel, то получится то же самое, что дает и команда BC_DeleteReg и т.д.
[QUOTE=kps;190890]Т.е. чтобы она импортировала в BC не только список удаленных файлов из команд DeleteFile, но и ещё список удаляемых ключей реестра, BHO, служб и т.д.[/QUOTE]
А зачем это делать?
[QUOTE=kps;190890]К примеру, если импортировать в BC список удаляемых ключей реестра из RegKeyDel, то получится то же самое, что дает и команда BC_DeleteReg и т.д.[/QUOTE]
В чем тут плюс я не уловил. Поясните.
Интересно, а что означает строка в протоколе про отладчик процесса, впервые появившаяся после сегодяшнего (точнее, уже вчерашнего) обновления AVZ
...
7. Эвристичеcкая проверка системы
Опасно - отладчик процесса "Your Image File Name Here without a path" = "ntsd -d"
[QUOTE=Синауридзе Александр;191045]А зачем это делать?
В чем тут плюс я не уловил. Поясните.[/QUOTE]
Для удобства.
Возьмем к примеру такой скрипт
begin
DeleteFile('C:\trojan.exe');
DeleteService('troj', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('troj');
BC_Activate;
RebootWindows(true);
end.
В нем BC_ImportDeletedList импортирует информацию об удаляемом файле в BC, поэтому не надо дополнительно писать BC_DeleteFile('C:\trojan.exe');
Что касается DeleteService('troj', true);, так вот информацию об удаляемой службе "troj" команда BC_ImportDeletedList в настройки BC не импортирует, поэтому надо дополнительно писать BC_DeleteSvc('troj'), чтобы удалить эту службу на всякий случай еще и через BC. А вот если сделать так, чтобы команда BC_ImportDeletedList добавляла в настройки BC еще и информацию о службе для удаления, то тогда было бы удобнее, я считаю. В этом случае не нужно было бы писать в скрипт команду BC_DeleteSvc('troj').
ничего зловредного не видно , зато есть такое :
Опасно - отладчик процесса "Your Image File Name Here without a path" = "ntsd -d"
Что сиё значит ?
6 ,9 думаете поможет?
[url]http://virusinfo.info/showthread.php?t=18403[/url]
[quote=drongo;191199]ничего зловредного не видно , зато есть такое :
Опасно - отладчик процесса "Your Image File Name Here without a path" = "ntsd -d"
Что сиё значит ?
6 ,9 думаете поможет?
[URL]http://virusinfo.info/showthread.php?t=18403[/URL][/quote]
Это злобный отладчик, который всех поймает и отладит :)
Если серьезно - это следствие "закручивания гаек" в эвристике, это балванка-заглушка, на примере которой MS показывает, как подключать отладчики к процессам. Если запустить скрипт 9, то он его "вылечит", хотя естественно влияния никакого на систему это не окажет.
[QUOTE=drongo;191199]ничего зловредного не видно , зато есть такое :
Опасно - отладчик процесса "Your Image File Name Here without a path" = "ntsd -d"
Что сиё значит ?
6 ,9 думаете поможет?
[url]http://virusinfo.info/showthread.php?t=18403[/url][/QUOTE]
Видимо, ошибка в AVZ, см.
[url]http://virusinfo.info/showthread.php?t=18211[/url]
После обновления AVZ при проверке процессов появляются строки вида
Анализатор - изучается процесс 2840 C:\VS80\Common7\IDE\devenv.exe
[ES]:Возможно Malware, нейрооценка = 5000
Вопрос: а нейрооценка 5000 - это много или мало? Если какие-либо рекомендованные граничные значения такой оценки?
Пользуюсь AVZ на своем компе уже более полугода, проблем с обновлением баз и лечением не возникало. сегодня установил AVZ на ноуте система Windows xp, обновил базы, после лечения пропали все сетевые подключения значки на рабочем столе ("телевизоры"), захожу в системную папку "сетевое окружение" жму отбразить сетев. подключения, ничего не отображается папка пустая выходит сообщение - "не удается поместить список сетевых устройств компьютера в папку "сетевые подключения". Проверьте, что служба сетевых подключений включена и выполняется." Что нужно мне сделать? инет после этого тоже не работает.
[quote=psw;192037]После обновления AVZ при проверке процессов появляются строки вида
Анализатор - изучается процесс 2840 C:\VS80\Common7\IDE\devenv.exe
[ES]:Возможно Malware, нейрооценка = 5000
Вопрос: а нейрооценка 5000 - это много или мало? Если какие-либо рекомендованные граничные значения такой оценки?[/quote]
Это оценка, выставляемая нейросеткой по разным критериям, выводится редко, чем больше-тем хуже. В данном случае файл не опасен - но что-то там в собранных по нему данных нейросетке не понравилось
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[quote=astra77;192395]Пользуюсь AVZ на своем компе уже более полугода, проблем с обновлением баз и лечением не возникало. сегодня установил AVZ на ноуте система Windows xp, обновил базы, после лечения пропали все сетевые подключения значки на рабочем столе ("телевизоры"), захожу в системную папку "сетевое окружение" жму отбразить сетев. подключения, ничего не отображается папка пустая выходит сообщение - "не удается поместить список сетевых устройств компьютера в папку "сетевые подключения". Проверьте, что служба сетевых подключений включена и выполняется." Что нужно мне сделать? инет после этого тоже не работает.[/quote]
Лечение, нейтрализация руткитов и т.п. было включено или нет ? Если лечение отключено, то AVZ вообще никак не вмешивается в работу системы ... если вмешивается, то в логе обезательно об этом пишется
[QUOTE=Зайцев Олег;192418]Это оценка, выставляемая нейросеткой по разным критериям, выводится редко, чем больше-тем хуже. В данном случае файл не опасен - но что-то там в собранных по нему данных нейросетке не понравилось[/QUOTE]
У меня за одно сканирование набралось 10 штук (и все с одной и той же нейрооценкой 5000). Все они безопасные (dexplore.exe, AcroRd32.exe и т.п.) но почему так много сразу и с абсолютно одинаковой оценкой?
Предложение: кнопку в AVZ( хотя бы скриптик )для очистки существующих ключей в MountPoints2 по всему реестру , а также автоматическое блокирование прав всем пользователям включая админа на новые записи в данном ключе, пока в авз не уберёшь галку ;)
[quote=psw;192425]У меня за одно сканирование набралось 10 штук (и все с одной и той же нейрооценкой 5000). Все они безопасные (dexplore.exe, AcroRd32.exe и т.п.) но почему так много сразу и с абсолютно одинаковой оценкой?[/quote]
Они одинаково не опознаны по базе безопасных, им видимо прочие признаки у них схожи ... Странно, что их так много - стоит прислать парочку на анализ, чтобы исключить файловый вирус. В остальном нужно больше смотреть на сообщения анализа с пометкой [ES] для каждого из процессов - это детализация р-тов анализа. Хотя в общем это просто одна из форм эвристики, чтобы привлечь внимание хелперов к неопознанным процессам
[size="1"][color="#666686"][B][I]Добавлено через 44 секунды[/I][/B][/color][/size]
[quote=drongo;192426]Предложение: кнопку в AVZ( хотя бы скриптик )для очистки существующих ключей в MountPoints2 по всему реестру , а также автоматическое блокирование прав всем пользователям включая админа на новые записи в данном ключе, пока в авз не уберёшь галку ;)[/quote]
Это можно скриптом восстановления системы сделать ... нужно только название придумать - как это обозвать понятно для пользователя
[QUOTE=Зайцев Олег;192418]
Лечение, нейтрализация руткитов и т.п. было включено или нет ? Если лечение отключено, то AVZ вообще никак не вмешивается в работу системы ... если вмешивается, то в логе обезательно об этом пишется[/QUOTE]
Лечение, нейтрализация руткитов было включено, после перезагрузки на компьюторе, всегда все системные настройки восстанавливались, а на ноутбуке такой результат- сетевые подключения пропали, звук и интернет тоже, какой выход скажите пож., переустановка винды ?
Редактор скриптов выдает ошибку - "Undeclared identifier: 'DeleteFileMask'", хотя в AVZ скрипт работает. Почему?
[CODE]begin
DeleteFileMask('C:\WINDOWS\system32\svcd','*.*',true);
DeleteDirectory('C:\WINDOWS\system32\svcd');
end.[/CODE]
Наверное потому, что этой команды нет в редакторе...
К [b]Олегу[/b], будет ли обновляться редактор скриптов AVZ?
[quote=astra77;192528]Лечение, нейтрализация руткитов было включено, после перезагрузки на компьюторе, всегда все системные настройки восстанавливались, а на ноутбуке такой результат- сетевые подключения пропали, звук и интернет тоже, какой выход скажите пож., переустановка винды ?[/quote]
AVZ такое естественно сделать не может, единственная гипотеза - это то, что на ПК обитал зловред, который патчил системный компоненты. Тогда патченный компонент системы запускает зверя, а зверь - то, что должен был запустить патченный компонент. Это интересная скрытая форма автозапуска, но убиение зловреда приводит к отключению автозапуска. Но без лога сканирования сказать что-то предметно невозможно...
astra77, сервис Plug and Play работает ? если нет- включить.
[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]
[quote=Зайцев Олег;192432]
Это можно скриптом восстановления системы сделать ... нужно только название придумать - как это обозвать понятно для пользователя[/quote]
Назвать просто :
Oчистить и ограничить права в ключе MountPoints2
Clean & restrict rights @ MountPoints2 key.
можно линк на хелп дать, где будет описано подробней.
[QUOTE=drongo;192590]astra77, сервис Plug and Play работает ? если нет- включить.
не сочтите за трудность, скажите где сервис Plug and Play проверить включен или нет
[b]Панель управления - Администрирование - Службы[/b]
[quote=drongo;192590] Назвать просто :
Oчистить и ограничить права в ключе MountPoints2
Clean & restrict rights @ MountPoints2 key.
можно линк на хелп дать, где будет описано подробней.[/quote]
Или так:
'Блокировать обход запрета Autorun'
'Block Autorun Denial Bypass'.
Большинство пользователей скорее всего смутно представляют себe, что такое 'MountPoints2'. :)
Paul
Сделал настройку Установить драйвер расширенного мониторинга процессов. После этого появилось сообщение - обнаружено новое устройство. Это совпадение или так должно быть?
скорее глюк ;)
если в данном раздела: а логи где ?
Обновил базу AVZ, просканировал и получил странное сообщение:
9. Мастер поиска и устранения проблем
>> [?1626?]
>> [?1627?]
>> [?1629?]
Проверка завершена
Это глюк??
Вопрос снят...После перезапуска АВЗ глюк исчез.
[quote=АлександрУ;194803]Обновил базу AVZ, просканировал и получил странное сообщение:
9. Мастер поиска и устранения проблем
>> [?1626?]
>> [?1627?]
>> [?1629?]
Проверка завершена
Это глюк??
Вопрос снят...После перезапуска АВЗ глюк исчез.[/quote]
Это не глюк, а побочный эффект :) Обновив базы, AVZ не перезагрузил базу локализатора. Такой эффект бывает редко.
А сообщения - это новая проверка, разрешен ли автозапуск с различных вилов устройст, я только сообщения подрихтую - они не совсем понятны в логе при такой формулировке.
[QUOTE=tol;193179]Сделал настройку Установить драйвер расширенного мониторинга процессов. После этого появилось сообщение - обнаружено новое устройство. Это совпадение или так должно быть?[/QUOTE]
На одной из тестируемых машинок встречал подобнее. Почему-то винда восприняла драйвер, как новое устройство.
Отключения автозапусков не работают!
Отмечаю, нажимаю Исправить, говорит - успешно. Снова нажимаю Пуск, и их опять находит.
[quote=Bratez;195040]Отключения автозапусков не работают!
Отмечаю, нажимаю Исправить, говорит - успешно. Снова нажимаю Пуск, и их опять находит.[/quote]
1. Vista без прав запуска в режиме админа
2. Какой-то "анти-что-то там" продукт , который восстанавливает ключи или не дает в них писать
[quote=Зайцев Олег;195043]1. Vista без прав запуска в режиме админа
2. Какой-то "анти-что-то там" продукт , который восстанавливает ключи или не дает в них писать[/quote]
Ни то ни другое.
XP PreSP3 Jan'08 admin + KIS. Руками все удаляется без вопросов.
[url]http://virusinfo.info/showthread.php?t=18533[/url]
Вроде бы фолс.
На Win2003 и winXPSP2 через мастер проблем пытался отключить автозапуски с устройств и исправить время завершения программ, в итоге ни что не исправилось.
Все делал под админом.