Поставлю на виртуалку и потестирую, спасибо.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Погонял AVG - компонент "Антивирус" выключить негде, можно временно отключить только Resident Shield и Firewall (из того, что нужно отключить).
P.S. Нагуглил ссылку на FAQ с официального сайта программы. Можно разместить скриншот и ссылку на официальный FAQ.
Добавил информацию в статью.
Добавлено.Сообщение от rubin
%fystemroot% или "Где мой Windows Update?"
Я подточил скрипт для исправления проблемы с %fystemroot% (сделал его более универсальным) - может кому-нибудь пригодится...
Вот сам скрипт AVZ:
Код:var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end; end; SaveLog(GetAVZDirectory + 'fystemRoot.log'); end.
Последний раз редактировалось Ingener; 22.10.2009 в 18:51.
GHETTO/STREET WORKOUT
Да вроде бы тот троян неактивные контролсеты не трогает... Хотя могу ошибаться. Когда попадется очередной случай, надо попробовать - протокол покажет.
I am not young enough to know everything...
Вот спёр отчёт с другого форума - они там искали изменённые ключи с помощью какой-то там утилиты и правили их потом вручную:
Хотя поиск изменённых ключей можно и в AVZ элементарно организовать:Код:Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 14.04.2009 19:13:34 for strings: ; 'fystemroot' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BITS] ; Contents of value: ; %fystemRoot%\system32\svchost.exe -k netsvcs "ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wuauserv] ; Contents of value: ; %fystemroot%\system32\svchost.exe -k netsvcs "ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BITS] ; Contents of value: ; %fystemRoot%\system32\svchost.exe -k netsvcs "ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wuauserv] ; Contents of value: ; %fystemroot%\system32\svchost.exe -k netsvcs "ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\controlset004\Services\BITS] ; Contents of value: ; %fystemRoot%\system32\svchost.exe -k netsvcs "ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\controlset004\Services\wuauserv] ; Contents of value: ; %fystemroot%\system32\svchost.exe -k netsvcs "ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS] ; Contents of value: ; %fystemRoot%\system32\svchost.exe -k netsvcs "ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv] ; Contents of value: ; %fystemroot%\system32\svchost.exe -k netsvcs "ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 ; End Of The Log...
По этой причине и был доработан скрипт, так как они мне на том форуме заявили что я не полностью исправляю проблему и нужно доработать скрипт...Код:begin RegSearch('HKLM', 'System', 'fystemRoot'); SaveLog(GetAVZDirectory + 'fystemRoot.log'); end.
GHETTO/STREET WORKOUT
Bratez, давно я хотел на обратить внимание, что надо смотреть и неактивные ControlSet. Стоит попросить пользователя поискать, например, с помощью IceSword
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Прецедент не заставил себя ждать:
http://virusinfo.info/showthread.php?t=58019
Действительно, неактивные контролсеты тоже надо править.
I am not young enough to know everything...
Добавил скрипт Ingener в тему
подскажите пожалуйста как удалить Dragon Jumper, а то хз откуда на компе у юзера появилась эта гадость вместе с Бонджормом, ман по удаления 2ого у вас на ресурсе нашёл. а первного не встретил, и гугл чт ото не раскрывает своих секретов
заранее спасибо
Мы наши секреты раскрываем в "Помогите!"
Туда - три лога, обратно - скрипты для лечения.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
я просто думал это что то типо Bonjour Service с подобным маном удаления
В тему о Combofix надо добавить описание процедуры деинсталляции программы.
Matias время придет добавим.
%fystemroot% или "Где мой Windows Update?"
Замените пожалуйста скрипт на новый (этот более грамотно написан):
Код:var i : integer; KeyList : TStringList; begin KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.'); end; end; KeyList.Free; SaveLog(GetAVZDirectory + 'fystemRoot.log'); end.
Последний раз редактировалось Ingener; 02.11.2009 в 21:53.
GHETTO/STREET WORKOUT
Хммм... Открыл тему, а отредактировать не могу, кнопочки нет. С чего бы это? Прошлый раз все нормально было.
I am not young enough to know everything...
Я вчера менял права, возможно что-то пропустил. Вечером погляжу.
Вроде договаривались, что тут только модер редактирует.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Тем не менее, возможность писать была даже у студентов, как мы видели.
В настройки прав внесены изменения.
Создавать темы в данном разделе, редактировать и удалять чужие сообщения может модератор раздела, супермодераторы и администраторы. Ветка "Обсуждения, изменения и дополнения к темам раздела Чаво" доступна для ответов всем участникам форума.
Как удалить неудаляемую папку?
Я тут немножко доработал скрипт - простому пользователю так может будет понятнее:
Код:var Directory : string; begin Directory := InputBox('Внимание', 'Введите полный путь к удаляемой папке:', 'Например: D:\127a$5376d86g45c3'); if MessageDLG('Вы действительно хотите безвозвратно удалить папку "'+Directory+'" ?', mtConfirmation, mbYes+mbNo, 0) = 6 then begin SetAVZGuardStatus(True); DeleteFileMask(Directory,'*.*',true); DeleteDirectory(Directory); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end; end.
GHETTO/STREET WORKOUT
Ваши права в разделе
Ответить с цитированием
