Сегодня встретилось у клиента в реале: пропали все значки в трее. В логе AVZ соответственно об этом сказано. Запускаю Мастер поиска и устранения проблем, проблема находится, нажимаю "исправить", выполняется, перезагружаюсь - значков как не было, так и нет. Запускаю XP Tweaker, и все исправляется двумя тычками мыши. Есть подозрение, что в AVZ Мастер где-то не срабатывает. Олег, проверьте пожалуйста!
I am not young enough to know everything...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Олег, скажите, плз, есть ли в плагине AVZ для The Bat! цифровая подпись, без которой он не сможет работать с Бат 4-х версий:
http://allbat.info/news-273/
Возникла след. проблема
На системе стоит ссылка на отсутствующий файл в Winlogon Notify
HJT
O20 - Winlogon Notify: reset5 - reset5.dll (file missing)
AVZ
reset5.dll
Активен Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\reset5, DLLName
Я пробую удалить эту ссылку скриптом
begin
DelWinlogonNotifyByFileName('reset5.dll');
RebootWindows(true);
end.
но она не удалается, в след. логах то же самое.
Понятно, что можно отключить в HJT, но почему не работает скрипт?
Это моя ошибка или ограничение AVZ?
DelAutorunByFileName тоже не работает, я уже писал об этом. Видимо они связаны.
psw
Можно и без DelWinlogonNotifyByFileName...
Код:begin RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\reset5'); end.
rubin
Так я тоже могу
Или DelWinlogonNotifyByKeyName();
I am not young enough to know everything...
Вот именно ...Сообщение от Bratez
Или DelWinlogonNotifyByKeyName();
DelWinlogonNotifyByKeyName - убивает Winlogon вхождение по имени ключа, рекомендуется, когда имя файла точно не известно или пустое. В данном случае именно эту функцию и нужно было применять
DelWinlogonNotifyByFileName - убивает Winlogon вхождение по имени файла, применяется тогда, когда имя файла точно известно.
Логика работы DelWinlogonNotifyByFileName такова:
1. Сканируются все ключи в SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\, для каждого ключа ищется парметр DllName. Если такового нет, то ключ игнорируется
2. Если находится ключ с DllName, то считывается его значение и изучается на предмет того, есть там путь или только голое имя. Если путь есть, то не делаем ничего. Если нет - ищем файл с таким именем в системной папке, если найдем - приделываем к имени путь
3. Сравниваем имя файла, переданное в качестве параметра и имя файла, добытое на шаге 2 без учета регистра. Если найденное на шаге 2 имя файла заканчается на образец, который передан в качестве параметра, то считаем, что мы нашли вхождение WInlogon и оно убивается. Такое сравнение позволяет задавать имя как скажем cscdll.dll, или system32\cscdll.dll, или полный путь\cscdll.dll - сработает в любом варианте.
Естественно, что
1. Нужно иметь права админа (особенно в Vista)
2. Не должнобыть активного процесса, выполняющего восстановление ключа
Олег, тогда, я считаю, нужно проверять и писать в протоколе Исследования Системы в таком случае, что reset5.dll не найден на диске, чтобы человек, пишуший скрипт, использовал не DelWinlogonNotifyByFileName, а DelWinlogonNotifyByKeyName для удаления элемента Winlogon.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Для DelWinlogonNotifyByFileName наличие файла на диске не требуется - нужно просто указывать имя файло в точности так, как оно есть (или указывать только имя файла, без пути).
Добавлено через 6 минут
Цифровой подписи там нет, но с 4.xx он работает и без нее
Последний раз редактировалось Зайцев Олег; 20.02.2008 в 19:39. Причина: Добавлено
Так psw в этом посте http://virusinfo.info/showpost.php?p...&postcount=323 же вроде правильно указал имя файла в скрипте, почему у него тогда элемент Winlogon не удалился? Он написал DelWinlogonNotifyByFileName('reset5.dll');
И еще вопрос по поводу скриптов:
Известно, что команда скрипта BC_ImportDeletedList импортирует в настройки BC список удаленных файлов, описанных в командах DeleteFile(которых может быть несколько). Планируется ли расширение этой функции BC_ImportDeletedList для удобства? Т.е. чтобы она импортировала в BC не только список удаленных файлов из команд DeleteFile, но и ещё список удаляемых ключей реестра, BHO, служб и т.д. из следующих команд (или хотя бы из некоторых из них):
DelCLSID
DelBHO
DeleteService
DelWinlogonNotifyByFileName
DelWinlogonNotifyByKeyName
DelAutorunByFileName
RegKeyDel
RegKeyParamDel
DeleteDirectory
DeleteFileMask
Ведь есть же команды для BC:
BC_DeleteReg
BC_DeleteSvcReg
BC_DeleteSvc
К примеру, если импортировать в BC список удаляемых ключей реестра из RegKeyDel, то получится то же самое, что дает и команда BC_DeleteReg и т.д.
Последний раз редактировалось kps; 20.02.2008 в 20:10. Причина: Добавлено
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
А зачем это делать?
В чем тут плюс я не уловил. Поясните.
Интересно, а что означает строка в протоколе про отладчик процесса, впервые появившаяся после сегодяшнего (точнее, уже вчерашнего) обновления AVZ
...
7. Эвристичеcкая проверка системы
Опасно - отладчик процесса "Your Image File Name Here without a path" = "ntsd -d"
Для удобства.
Возьмем к примеру такой скрипт
begin
DeleteFile('C:\trojan.exe');
DeleteService('troj', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('troj');
BC_Activate;
RebootWindows(true);
end.
В нем BC_ImportDeletedList импортирует информацию об удаляемом файле в BC, поэтому не надо дополнительно писать BC_DeleteFile('C:\trojan.exe');
Что касается DeleteService('troj', true);, так вот информацию об удаляемой службе "troj" команда BC_ImportDeletedList в настройки BC не импортирует, поэтому надо дополнительно писать BC_DeleteSvc('troj'), чтобы удалить эту службу на всякий случай еще и через BC. А вот если сделать так, чтобы команда BC_ImportDeletedList добавляла в настройки BC еще и информацию о службе для удаления, то тогда было бы удобнее, я считаю. В этом случае не нужно было бы писать в скрипт команду BC_DeleteSvc('troj').
Последний раз редактировалось kps; 21.02.2008 в 01:25.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
ничего зловредного не видно , зато есть такое :
Опасно - отладчик процесса "Your Image File Name Here without a path" = "ntsd -d"
Что сиё значит ?
6 ,9 думаете поможет?
http://virusinfo.info/showthread.php?t=18403
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Это злобный отладчик, который всех поймает и отладит
Если серьезно - это следствие "закручивания гаек" в эвристике, это балванка-заглушка, на примере которой MS показывает, как подключать отладчики к процессам. Если запустить скрипт 9, то он его "вылечит", хотя естественно влияния никакого на систему это не окажет.
Видимо, ошибка в AVZ, см.
http://virusinfo.info/showthread.php?t=18211
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
После обновления AVZ при проверке процессов появляются строки вида
Анализатор - изучается процесс 2840 C:\VS80\Common7\IDE\devenv.exe
[ES]:Возможно Malware, нейрооценка = 5000
Вопрос: а нейрооценка 5000 - это много или мало? Если какие-либо рекомендованные граничные значения такой оценки?
Пользуюсь AVZ на своем компе уже более полугода, проблем с обновлением баз и лечением не возникало. сегодня установил AVZ на ноуте система Windows xp, обновил базы, после лечения пропали все сетевые подключения значки на рабочем столе ("телевизоры"), захожу в системную папку "сетевое окружение" жму отбразить сетев. подключения, ничего не отображается папка пустая выходит сообщение - "не удается поместить список сетевых устройств компьютера в папку "сетевые подключения". Проверьте, что служба сетевых подключений включена и выполняется." Что нужно мне сделать? инет после этого тоже не работает.
Это оценка, выставляемая нейросеткой по разным критериям, выводится редко, чем больше-тем хуже. В данном случае файл не опасен - но что-то там в собранных по нему данных нейросетке не понравилось
Добавлено через 1 минуту
Лечение, нейтрализация руткитов и т.п. было включено или нет ? Если лечение отключено, то AVZ вообще никак не вмешивается в работу системы ... если вмешивается, то в логе обезательно об этом пишется
Последний раз редактировалось Зайцев Олег; 23.02.2008 в 23:06. Причина: Добавлено
Ваши права в разделе
