И как это связано с удалением посторонних маршрутов ?Сообщение от Юльча
я знаю )
хотя по идее IPы вообще не нужны, достаточно hosts и nslookup.. но мало ли )
вобщем, прикрепила на всякий случай
~180 записей в роутах и ~800 в hosts
И как это связано с удалением посторонних маршрутов ?я знаю )
хотя по идее IPы вообще не нужны, достаточно hosts и nslookup.. но мало ли )
вобщем, прикрепила на всякий случай
~180 записей в роутах и ~800 в hosts
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
вложение было продолжением этого сообщения
мне показалось как-то связано. если не связано и не нужен...могу дать hosts после вируса "с роутами", там сайты расписаны + роуты с IP этих же сайтов
может найдете, что можно еще добавить )
Оно не связано никаквложение было продолжением этого сообщения
мне показалось как-то связано. если не связано и не нужен...Маршруты зверя являются левыми маршрутами на сети класса "C" - а там 253 адреса. В этот маршрут может попадать всего 1-2 IP серверов антивирусов, а может и вообще ни одного - так как IP у серверов меняются ... а остальные 200 с копейками блокируются "за компанию", или не блокируются - может, у пользователя такой маршрут специально задан и без него ничего работать не будет (пример - маршруты на сервера провайдеров). И возникает задача - точно понять, какие маршруты однозначно левые и их можно прибить (или поднять аларм), а какие могут быть и полезными ... - задача неоднозначная. Блокируемых имен из Hosts у меня немного больше, чем в архиве - всего 1.86 миллиона штук
Я точно помню, что это обсуждалось, но не могу найти где...
В общем, после работы с AVZ по удалению зловреда, появилось какое-то неизвестное оборудование, которое теперь висит в Диспетчере устройств. Как на это реагировать?
Еще. Одна флэшка теперь не хочет определяться на излеченном комп-е, хотя на других определяется...
И не удаляется?
Ну "устройство" - это скорее всего нотификатор. Выполните скрипт:
После перезагрузки должно исчезнуть.Код:begin ExecuteStdScr(6); RebootWindows(false); end.
А флешка - попробуйте отформатировать. Если не поможет, значит ой...
Не ой:
Blink 182 = BoxCar Racer + plus 44 + Angels & Airwaves
> И не удаляется?
не пробовал
gjf, спасибо, попробую!
Олег, существует ли в скриптовом языке команда очистки протокола AVZ?
Такой команды не существует, я ее добавил в 4.34
скорый выход 4.34 детектед?
Зайцев Олег,
Ожидаемый AVZ будет полиморфным?
Нет. Какой толк от полиморфной версии, статически лежащей на сайте ? Как и сейчас, полиморфная сборка будет генерироваться отдельно (в нее интегрируюся базы и т.п.)
Иногда не удается запустить AVZ и другие утилитки. Особенно обидно, когда зверек внедряется примитивно, через AppInit_DLLs . Приходится грузиться с PE.
Или задействовать драйвер BC от AVZ, не используя сам AVZ.
Утилитка, которая устанавливает и настраивает драйвер, не импортирует функции из user32.dll. По этой причине AppInit_DLLs ей по барабану. Конфигурируется через ini-файл (должен лежать в той же папке, название менять нельзя). Саму утилиту можно переименовывать, не меняя длины имени.
http://slil.ru/28543818
Сам файл драйвера не выкладываю из легальных соображений. Пример конфига в комплекте. Реализованы копирование, удаление фала, удаление и отключение сервиса. Если параметр StartNow установить в YES, драйвер запустится, попытается выполнить задания и удалится. Не факт, что сразу удалится из базы. Поэтому, при повторном запуске лучше назначить другое имя (секция [OPTIONS], параметр ServiceName).
Драйвер чего? BC от AVZ? Дык а какие на него "легальные соображения"?
Мало ли
Без разрешения неудобно. К тому же, раздобыть его не сложно. Если кто не умеет, то ему оно и не надо
Ну да, тоже верно
Добавлено через 8 часов 28 минут
antanta, немного в офф, но в принципе о сабжевом дрове речь...
Касательно Вашей утилиты. Непонятно - регистрирует ли она драйвер в системе, или он уже должен быть зарегистрирован? Имхо польза была бы в следующем случае.
1. При запуске утилита проверяет, зарегистрирован ли ВС в системе. Если да - то п.3, если нет - идём дальше.
2. Копируем файл drv.sys из папки, откуда запущена утилита, под рэндомным именем в %System32%\drivers\ и регистрируем его.
3. Запускаем основной функционал.
Исходя из
я подозреваю, что так и реализовано. Но непонятен смысл ServiceName - забейти туда рэндом, лучше всё равно ничего не придумать!DrvFileName=D:\Common\ANTSOFT\AsmSnatcher\xyz.sys
DrvCopyTo=C:\windows\system32\drivers\vdm3mtq3.sys
Не понял по поводу StartNow=NO - это значит, что выполнение запланируется при следующей перезагрузке? Но так и должно быть, толку от ВС при уже загруженной системе?
Последний раз редактировалось gjf; 25.01.2010 в 23:00. Причина: Добавлено
После этого зловредописателям остается только воспользвоаться готовым инструментом, например для уничтожения антивирусов ... а мы потом будем сильно удиваляться, почему драйвер BC детектят все, кому не лень ...
Олег, AVZ детектят уже давно. И полиморф тоже. И благополучно прибивают. Это если о детекте со стороны малвари. Я сомневаюсь, что зловредописатели, научившиеся его детектить, до сих пор не обращали внимания на ВС. И если человек сделал что-то с добрым умыслом - это только хорошо.
Если речь о детекте со стороны антивирусов - мы их в правилах просим отключать при начале сканирования. Да и в любом случае при паранойе можно и по результатам хипса заподозрить. Кстати, мы и сейчас небезгрешны.
P.S. На моей памяти когда-то уже были логи, где зловред пользовался компонентом AVZ, или я что-то путаю?
Ваши права в разделе
