Показано с 1 по 15 из 15.

выполнил "Удалениe всех Policies для текущего пользователя" - сеть "ушла" (заявка № 10659)

  1. #1
    Junior Member Репутация
    Регистрация
    26.06.2007
    Сообщений
    9
    Вес репутации
    62

    Exclamation выполнил "Удалениe всех Policies для текущего пользователя" - сеть "ушла"

    После выполнения "Удаления всех Policies для текущего пользователя" раздела "Востановление настроек системы" перестала работать сеть, точнее я немогу подключиться к удалённым Socks, Pop, Http и прочим портам, а файлы на соседних компах вижу без проблем...
    Система WinXP pro x64
    причём на 32-х битных системах такой проблемы нет ВООБЩЕ!

    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Удаление Policies на сеть не влияет. А вот хаотичное запускание других скриптов и опций + деятельность недобитых зловредов - еще как повлияет
    Олег, Я поставил экспиримент ещё на одной "чистой" 64-х битной системе:
    1 загрузил комп - почта, аська, ftp - работают (всё через прокси)
    2 скачал AVZ 4.25, запустил его.
    3 дальше делаю ВСЕГО 4 клика мышью
    ФАЙЛ/ВОСТАНОВЛЕНИЕ СИСТЕМЫ/Удаления всех Policies (ограничений) для текущего пользователя/Выполнить отмеченые операции
    4 закрываю AVZ (почта, аська, ftp - работают)
    5 reboot - почта, аська, ftp - НЕработают, но файлы на соседних компах видно без проблем.

    После этого исполнение пунктов 5,8,14,15 раздела восстановление системы, переустановка сетевых интерфейсов, создание нового профиля - НЕ помогли.

    Описаный эффект наблюдается исключительно на 64-х битных системаx(WinXP)
    На 32-х битных всё работает должным образом.

    НЕУЖЕЛИ ПЕРЕУСТАНАВЛИВАТЬ ВИНДУ?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Логи делались из терминальной сессии? Если да, то нужно сделать
    непосрественно на сервере.

    1.Профиксить в HijackThis:
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"
    2. Почистить файл Hosts

    3. Два антивируса Nod и Доктор Веб - многовато.


    Подозреваю, что имеется еще довольно большое количество зверья.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    26.06.2007
    Сообщений
    9
    Вес репутации
    62
    Цитата Сообщение от PavelA Посмотреть сообщение
    Логи делались из терминальной сессии? Если да, то нужно сделать
    непосрественно на сервере.

    1.Профиксить в HijackThis:
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"
    2. Почистить файл Hosts

    3. Два антивируса Nod и Доктор Веб - многовато.


    Подозреваю, что имеется еще довольно большое количество зверья.
    Логи делались НЕ из терминальной сессии.

    в HijackThis:
    F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"
    Пофиксил

    файл Hosts Почистил

    Nod работает только как монитор.
    В пакете DrWeb активен только SpiderMail (нод не делает это правильно)

    действия не принесли желаемого результата

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Новый лог Hijackthis нужен.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    в AVZ выполнить скрипт. Будет перезагрузка.

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('lsass.exe','');
     QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Application Data\smss.exe','');
     DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Application Data\smss.exe');
    BC_ImportAll;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Прислать карантин. Ссылка для загрузки вверху темы.

    Странно это. Такой похоже старенький Warezov и жив-здоров под Nod32.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    В порядке поиска виноватых в пропаже сети - сделайте Спайдермылу -remove (spiderml.exe -remove) с последующей перезагрузкой. Не тестировался он на совместимость с x64.

  8. #7
    Junior Member Репутация
    Регистрация
    26.06.2007
    Сообщений
    9
    Вес репутации
    62
    Цитата Сообщение от PavelA Посмотреть сообщение
    в AVZ выполнить скрипт. Будет перезагрузка.
    Прислать карантин. Ссылка для загрузки вверху темы.
    Странно это. Такой похоже старенький Warezov и жив-здоров под Nod32.
    в файле "BEFORE hijackthis.log" лог до выполнения скрипта.
    не всё выполняется должным образом...
    Лог AVZ в файле "AVZ error log.txt"

    Цитата Сообщение от pig Посмотреть сообщение
    В порядке поиска виноватых в пропаже сети - сделайте Спайдермылу -remove (spiderml.exe -remove) с последующей перезагрузкой. Не тестировался он на совместимость с x64.
    СпайдерМэйл удалил, но не в нём дело, всё ведь работало...
    Outluok к примеру выдаёт такую ошибку - "Outlook Error.txt"
    Да и на работу FTP и HTTP с SOCKS'ом SpiderMail влиять вроде не должен...

    тут "AFTER hijackthis.log" лог после всех операций.
    Вложения Вложения

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    1. Файл "C:\WINDOWS\eksplorasi.exe" в системе имеется ? Если да, то его следует прислать для изучения
    2. Следует выполнить ipconfig /all и прислать полученный лог.
    3. Что будет, если пингануть почтовый сервер - на ping он отвечает ?
    4. С файлом hosts полный бардак, нужно стереть из него все, кроме строки 127.0.0.1 localhost

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    C:\Documents and Settings\Administrator\Local Settings\Application Data\smss.exe - есть ли такой файлик?

    Нужен новые логи AVZ. Посмотреть, что удалилось, а что осталось.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    26.06.2007
    Сообщений
    9
    Вес репутации
    62
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    1. Файл "C:\WINDOWS\eksplorasi.exe" в системе имеется ? Если да, то его следует прислать для изучения
    2. Следует выполнить ipconfig /all и прислать полученный лог.
    3. Что будет, если пингануть почтовый сервер - на ping он отвечает ?
    4. С файлом hosts полный бардак, нужно стереть из него все, кроме строки 127.0.0.1 localhost
    в файле "IpConfig-ALL.txt" соответствующий лог
    На пинг сервака - Destination host unreachable.

    Цитата Сообщение от PavelA Посмотреть сообщение
    C:\Documents and Settings\Administrator\Local Settings\Application Data\smss.exe - есть ли такой файлик?

    Нужен новые логи AVZ. Посмотреть, что удалилось, а что осталось.
    smss.exe в системе нет.
    eksplorasi.exe в системе нет.

    "Бронток" или как его там, был когда-то, давно, излечил путём снятия системного диска и сканирования на чистой машине.
    чтобы вернуть пункт "Свойства папки" и возможность редактирования реестра, после действий вируса, выполнил описаные в начале действия и сети не стало.
    Я более чем уверен что если мне всётаки прийдётся переустановить машину то исполнение "Удаление всех Policies для текущего пользователя" раздела "Востановление настроек системы" приведёт к тому же результату.

    Я проверил "метод четырёх кликов" ЕЩЁ НА ОДНОЙ МАШИНЕ - реакция таже.
    Вложения Вложения

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    А еще один таой ПК есть ? Он по идее нужен для прояснения, что это за чудеса такие.
    Короче говоря, указанный скрипт чистит следующие верки реестра:
    1. Software\Microsoft\Windows\CurrentVersion\Policies
    2. Software\Policies
    Соответственно нужно изыскаеть еще один подобный ПК и посмотреть, есть там такие ветки или нет (у HKCU и в HKLM). Если есть, то:
    1. Экспортнуть их (при экспорте указать тип файла "Файлы реестра Win9x/NT")
    2. Приложить их сюда
    3. Импортнуть на тех машинах, на которых выполнялось удаление всех политик и перезагрузиться. И посмотреть, что будет ...
    -----
    в нестройках сети (лог IPConfig) все вроде нормально ... все должно работать

  13. #12
    Junior Member Репутация
    Регистрация
    26.06.2007
    Сообщений
    9
    Вес репутации
    62

    Лекарство найдено!

    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    А еще один таой ПК есть ? Он по идее нужен для прояснения, что это за чудеса такие.
    Короче говоря, указанный скрипт чистит следующие верки реестра:
    1. Software\Microsoft\Windows\CurrentVersion\Policies
    2. Software\Policies
    Соответственно нужно изыскаеть еще один подобный ПК и посмотреть, есть там такие ветки или нет (у HKCU и в HKLM). Если есть, то:
    1. Экспортнуть их (при экспорте указать тип файла "Файлы реестра Win9x/NT")
    2. Приложить их сюда
    3. Импортнуть на тех машинах, на которых выполнялось удаление всех политик и перезагрузиться. И посмотреть, что будет ...
    -----
    в нестройках сети (лог IPConfig) все вроде нормально ... все должно работать
    В общем и целом удалось выяснить что это баг функции востановления AVZ.

    Вот ветки с двух машин для поиска устранения бага,
    KLIM.rar c пострадавшей машины(HKEY_CURRENT_USER\Software\Microsoft\Window s\CurrentVersion\Policies на ней не окозалось вообще, но это и не повлияло на работу сети), ARMA.rar с машины-донора.

    Проверено ещё на одной машине(третья по счёту)
    Актуально ТОЛЬКО ДЛЯ 64-х битных систем!

    Теперь всё работает.

    Спасибо за внимание.
    Вложения Вложения
    • Тип файла: rar ARMA.rar (4.1 Кб, 6 просмотров)
    • Тип файла: rar KLIM.rar (450 байт, 6 просмотров)

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от SoV Посмотреть сообщение
    В общем и целом удалось выяснить что это баг функции востановления AVZ.

    Проверено ещё на одной машине(третья по счёту)
    Актуально ТОЛЬКО ДЛЯ 64-х битных систем!

    Теперь всё работает.

    Спасибо за внимание.
    Это не баг AVZ ... не нужно пускать подобные скрипты без надобности, если нет уверенности в необъходимости данной операции. и 64 бит система тут не причем - все гораздо проще. На рассмотренных ПК применяется фильтрация пакетов, а настройки фильтрации лежат в IPSec\Policy\Local. Удаление всех ограничений предполагает удаление и этих настроек - и правила фильтрации удаляются (они ведь также могли быть модифицированы зловредом). Соответсвенно фильтр пакетов без правил никого никуда не пускает

  15. #14
    Junior Member Репутация
    Регистрация
    26.06.2007
    Сообщений
    9
    Вес репутации
    62
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Это не баг AVZ ... не нужно пускать подобные скрипты без надобности, если нет уверенности в необъходимости данной операции. и 64 бит система тут не причем - все гораздо проще. На рассмотренных ПК применяется фильтрация пакетов, а настройки фильтрации лежат в IPSec\Policy\Local. Удаление всех ограничений предполагает удаление и этих настроек - и правила фильтрации удаляются (они ведь также могли быть модифицированы зловредом). Соответсвенно фильтр пакетов без правил никого никуда не пускает
    Надобность была, о ней я писал выше.
    Поясните как востановить правила фильтрации штатными средствами системы, либо при помощи AVZ?
    (её ведь никто не настраивал, всё по дефолту после установки системы, разве не должна востанавливающая функция AVZ приводить всё к дефолтному состоянию, так сказать к "заводским" настройкам?)
    Я ещё раз проверил на последней имеющейся в студии машине с 64-х разрядной осью, и на другой, 32-х битной...
    С 32-х разрядной не произошло ничего.
    64-х битная в ауте.
    КАК ЭТО можно объяснить?
    Последний раз редактировалось SoV; 28.06.2007 в 08:57.

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от SoV Посмотреть сообщение
    Надобность была, о ней я писал выше.
    Поясните как востановить правила фильтрации штатными средствами системы, либо при помощи AVZ?
    (её ведь никто не настраивал, всё по дефолту после установки системы, разве не должна востанавливающая функция AVZ приводить всё к дефолтному состоянию, так сказать к "заводским" настройкам?)
    Я ещё раз проверил на последней имеющейся в студии машине с 64-х разрядной осью, и на другой, 32-х битной...
    С 32-х разрядной не произошло ничего.
    64-х битная в ауте.
    КАК ЭТО можно объяснить?
    У XP SP2 эта фича управляется при помощи доп. программы, которая входит в Support Tools. В частности, там есть команда netdiag /test:ipsec - для теста, и IPSeccmd.exe - для управления. Подробности см. на сайте MS - вот ссылочка:
    http://support.microsoft.com/default...b;en-us;813878

  • Уважаемый(ая) SoV, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 16:16
    2. Ответов: 8
      Последнее сообщение: 26.03.2012, 21:22
    3. Ответов: 0
      Последнее сообщение: 01.11.2009, 13:19
    4. Ответов: 3
      Последнее сообщение: 22.02.2009, 09:42
    5. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01109 seconds with 20 queries