yur4egg, цель всё-таки какая: кидо прибить, или исследовать его работу? Если первое - kidokiller от ЛК - и все дела. Если второе - прочтите для начала описание вируса где-нибудь на http://www.securelist.com/ru/. Да и здесь в разделе "помогите" есть темы, где можно скрипт для зачистки этой модификации kido найти. Но чтобы все хвосты от него вычистить, лучше kidokiller, он всё вавтомате сделает.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
AVZ Сервис - Диспетчер процессов. В нижней части смотреть.Сообщение от yur4egg
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
осмелюсь добавить.
вдолжен быть параметр ServiceDll, со значением, указывающим на злодейскую DLL. Сам сервис давно определяется AVZ по нестандартным правам доступа. Искать нужно, как правильно сказал PavelA, среди DLL, приаттаченых к процессам. Для пущей быстрости исследуйте экземпляры svchost, это немного ускорит поиск.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\kido_service_name\Parameters
Хотя, баян это все. Где это все берется?
Последний раз редактировалось antanta; 16.09.2010 в 20:13.
У меня будет свой Internet, без MMORPG и порно-див!
Я так и смотрю. В описании прочитал, что кидо цепляет свою длл к процессу svchost.exe. Все экземпляры в диспетчере прощелкал, ни в одном зловредная длл не видна. Собственно в том и состоял вопрос, почему не видна? Раньше таким способом определялись пораженные системные процессы, а в этом случае - нет. А червя я вычистил, спасибо за советы)
Если в AVZ не видно можно попробовать через утилиты от Русиновича, там не цепляется база "доверенных" и информации отображается больше.
Второе и основное: червь может защищать свою компоненту. Из-за этого она виндна как "прямое чтение".
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вопрос автору AVZ
В последней версии AVZ при использовании в скрипте команды SetupAVZ('MiniLog=Y') не подавляется вывод некоторой некритической информации при работе скриптовой команды SaveLog('avz.log'), например, в протокол сохраняются следующие строки:
1.5 Проверка обработчиков IRP
Проверка завершена
Анализатор - изучается процесс 388 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3 a.exe
Можно это пофиксить?
Команда скрипта SaveCSVLog('avz.csv') при использовании команды SetupAVZ('MiniLog=Y') не работает полноценно (т.е. сохраняются какие-то несколько строк, а не весь протокол критической информации).
Команда SaveCSVLog больше не поддерживается?
К сожалению, автор покинул форум. Задавайте вопросы на его сайте.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Там есть форум? Если нет, то где задавать вопросы?
Последний раз редактировалось antanta; 28.09.2010 в 19:53.
http://forum.kaspersky.com/index.php?showforum=150 наверное здесь
Подскажите пожалуйста, можно ли через скрипты AVZ отключить ненужные мне сервисы Windows XP? Точнее так - как можно создать скрипт для отключения ненужных сервисов Windows XP?
dm2003,подойдет?Код:SetServiceStart('Service_Name', 4)
А что дальше? Мне к примеру нужно отключить обновление, брэндмауэр, удаленный реестр и еще немного. Если можно поподробнее пожалуйста.
Добавлено через 1 минуту
Разобрался, спасибо. Да это именно то. спасибо вам за помощь. Удачи.
Последний раз редактировалось dm2003; 14.10.2010 в 14:41. Причина: Добавлено
Нашёл ключ реестра, через который вирусы могут перенаправлять пользователя со страниц about(в том числе и с about:blank) на любой сайт:
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs
Не мешало бы в следующей версии AVZ сделать проверку этого ключа.
Да что же на напасть такая((((
Не удается "установить драйвер расширенного мониторинга процессов".
Ошибки не выдает, просто не устанавливается
Запуск от имени администратора.
AVZ версия 4.35 от 25.08.2010
Windows 7 Ult rus x64
Kaspersky AVWorkst v. 6.0.4.1424a
А кто вам сказал что в АВЗ есть поддержка 64-х битных ОС?
Вот из справки АВЗ
Технологии AVZPM, AVZGuard, BootCleaner не поддерживаются в Win 9x и в 64-bit версиях операционных систем XP/Vista/Win7.
Последний раз редактировалось Torvic99; 14.11.2010 в 20:16.
Не могу сделать ни один лог AVZ стандартными скриптами в Windows 7 x64.
AVZ практически сразу падает, KIS2011 выгружен.
Какую информацию нужно предоставить, чтобы разобраться с проблемой?
Пробовал полиморфный AVZ по ссылке http://www.z-oleg.com/avz.exe аналогично падает. См. скриншот.
Выполняются только стандартные скрипты 4,5. Иногда
при запуске стандартного скрипта наблюдаются пикающие звуковые эффекты из колонок, avz падает.
Может проблема уже известна? Win7 x64 не поддерживается?
AVZ падает из-за того, что Технологии AVZPM, AVZGuard, BootCleaner
не поддерживаются в Win 9x и в 64-bit версиях операционных систем XP/Vista/Win7?
Мастер поиска и устранения проблем отрабатывает нормально.
Последний раз редактировалось fidget; 21.12.2010 в 00:46.
Вот ещё на всякий случай
Последний раз редактировалось fidget; 11.12.2010 в 12:07.
Читаем сообщение выше:
Вот из справки АВЗ
Цитата:Технологии AVZPM, AVZGuard, BootCleaner не поддерживаются в Win 9x и в 64-bit версиях операционных систем XP/Vista/Win7.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Разработчику. Проверьте восстановление проводника. В частности восстановление ключа реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]. Значение "Userinit"="C:\\Windows\\system32\\userinit.ex e,". Не на всех системах срабатывают значения с %systemdir% вместо указания полного пути.
Ваши права в разделе
