А ещё неплохо бы приравнять задания к прочему автозапуску и чистить их сисклином.
А ещё неплохо бы приравнять задания к прочему автозапуску и чистить их сисклином.
WBR,
Vadim
Можно в 22 твик еще добавить очистку этого ключа реестра?
7. Эвристичеcкая проверка системы
Обратите внимание: в настройках IE задан прокси-сервер Internet\ManualProxies = "0http://ertaco.com/cols/accepted2.ruo"Полное имя 0HTTP://ERTACO.COM/COLS/ACCEPTED2.RUO
Имя файла 0HTTP://ERTACO.COM/COLS/ACCEPTED2.RUO
Тек. статус ПОДОЗРИТЕЛЬНЫЙ
Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\services\NlaSvc\Para meters\Internet\ManualProxies\
0http://ertaco.com/cols/accepted2.ruo
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
mike 1, так можно сказать из-за этого ключа эта таблетка и появилась http://virusinfo.info/showthread.php...=1#post1177844
Проблема в том, что вирус постоянно восстанавливает эту настройку.
regist 22 таблетка не смогла сбросить эту надстройку, да и самого вируса уже не было, который добавляет эту надстройку.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
1) не смогла и не проверяет этот ключ это немного разные вещи.
2) этот настройка сама по себе вирус по класификации ЛК Trojan.Multy.Proxy.Changer, по этому адресу находится JS скрипт который меняет настройки прокси.
- - - - -Добавлено - - - - -
Сейчас проверил работу таблетки на этом твике, значение параметра было обнулено. Так что этот ключ обрабатывает. А почему не смогло сбросить это уже другой вопрос.
thyrex, уже несколько раз замечал, что для того чтобы AVZ перескочил к нужной ветке реестра надо сделать несколько попыток. Для наглядности записал видео.
Было бы удобней, если рядом с названием ОСещё выводилась разрядность системы.Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Home Premium"
Добрый день. Не планируется ли "сетевая" версия AVZ?
Я имею в виду возможность запуска программы на удалённой машине, с отображением результатов в привычном виде на машине хелпера ("хелпер" -в широком смысле).
Такая система позволила бы производить мелкий ремонт и диагностику, не мешая пользователю.
Кроме того, ну и на основании полученных данных раздавать "таблетки" сразу группе пользователей из разных организаций, например.
Ясно, что для этого нужен сервер.
У меня будет свой Internet, без MMORPG и порно-див!
1)
http://rghost.ru/59703688
Экспорта реестра к сожалению нет, но итак понятно, что там должен быть xerox почему AVZ решило его так обрезать, не понятно. Или у кибера появилось чувство юмора?
2) http://rghost.ru/59703791
Мобоген опять попал в белый (зелёный) список.
3) http://rghost.ru/59703848 - скорее всего AVZ неправильно распознал юникодное имя файла (предполагаю, что оно было иероглифами)
3.1)
По HTML логу вставляется в скрипт команды
AVZ ругается на синтаксис.Код:begin QuarantineFile('C:\Documents and Settings\4<8=8AB@0B>@\Local',''); DeleteFile('C:\Documents and Settings\4<8=8AB@0B>@\Local','32'); end.
3.2) В XML логе также ошибки
http://virusinfo.info/attachment.php...8&d=1419241150 опять косяк с экранированием кавычек.
Строка №5
Код HTML:<ITEM PID="6864" File="c:\program files (x86)\nti\acer backup manager\backupmanagertray.exe" CheckResult="0" Descr="Acer Backup Manager" LegalCopyright="Copyright (C) 2011, NTI Corporation. All rights reserved." Hidden="0" CmdLine=""C:\Program Files (x86)\NTI\Acer Backup Manager\BackupManagerTray.exe" -h -k" Size="296984" Attr="rsAh" CreateDate="05.01.2012 13:21:44" ChangeDate="05.01.2012 13:21:44" MD5="4DDE3E01B5020B3D5DEEC7E3DC0F3185" Vendor="NTI Corporation" Product="Acer Backup Manager" Ver="3.0.0.100" IsPE="1" />
Собственно, AVZ изначально и появился как сетевой А потом к нему был приделан GUI (изначально попросту секции лога в XML шли на сервер, оттуда в ответ - скрипты). Но это неудобно, так как нужно держать запущенного агента AVZ все время и иметь постоянную IP достижимость до сервера, на сервере нужна серьезная БД, некий GUI.... Сейчас в КВС все проще - скрытно запускается AVZ (rexec, доменная политика, агентом антивируса или через управляемое через домен задание планировщика), он собирает логи и карантины невидимо для пользователя и шлет по FTP на сервер админам. Там все это изучается (вручную, автоматом, полуавтоматом), и если нужно, идет формирование и запуск скрипта тем же образом. Но в КВС такие фокусы, как запуск толком не проверенных скриптов во время работы пользователя - весьма опасная затея, потому практикуется редко, например в случае лечения эпидемий.
http://virusinfo.info/showthread.php?t=176254
Adware попало в базу чистых файлов.
O10 - Unknown file in Winsock LSP: c:\windows\system32\mintcastnetworks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mintcastnetworks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mintcastnetworks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mintcastnetworks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mintcastnetworks.dll
https://www.virustotal.com/ru/file/d...2d85/analysis/ (правда в моем случае хэш md5 может быть другим)
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Навеяно в очередной раз темой http://virusinfo.info/showthread.php?t=177699, где пришлось собирать скрипт несколько раз
Олег, Вас уже просили, чтобы в логах файлы в секциях
+ загруженные dll под списком процессов шли без подчеркивания и не срабатывали как ссылки, которые обнуляют скрипт и приходится все повторять зановоМодули пространства ядра
Автозапуск
Модули расширения Internet Explorer (BHO, панели ...)
Подозрительные объекты
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Зайцев Олег,
1) http://rghost.ru/7zw4SFHHV
Опять косяк с экранирование кавычек. Строка: 30, Символ: 334
2) AVZ регулярно не дочищает задания. По логу AVZ задание как бы удалено и больше не видно, а потом запрашиваешь лог Farbar или AdwCleaner (by Xplode)Код HTML:<ITEM PID="5768" File="c:\program files (x86)\microsoft office\office15\winword.exe" CheckResult="-1" Descr="Microsoft Word" LegalCopyright="" Hidden="0" CmdLine=""C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE" /n "C:\Users\kapustin.es\AppData\Local\Temp\Rar$DI67.288\Отчет за сентябрь 2014.docx /o """ Size="1922712" Attr="rsAh" CreateDate="21.01.2015 14:59:54" ChangeDate="21.01.2015 14:59:54" MD5="1E8A06F4AB44FAA82935D22C93BD9EAB" Vendor="Microsoft Corporation" Product="Microsoft Office 2013" OFN="WinWord.exe" Ver="15.0.4693.1000" IsPE="1" />
К примеру в логе FRST это выглядит так
После удаления этих ошмётков часто и проблема юзера уходит.Код:Task: {4A2EEFCC-1E14-49F5-8E9C-4E4111DDB3BD} - \chrome5_logon No Task File <==== ATTENTION Task: {91E48151-635F-4E70-8053-3FBBC357C6AF} - \chrome5 No Task File <==== ATTENTION Task: {B56BE3D5-B911-47D1-A4E8-D4789C7F749D} - \SystemScript No Task File <==== ATTENTION
Возможно эта бага связана как раз с тем, что составление скрипта AVZ по логу AVZ не учитывается разрядность (на x64 ситемах всегда вставляется этот параметр независимо от того нужно отключать редирект или не нужно).
PS. и полиморф не помешало бы обновить. С начала Июня там базы не обновлялись . А раньше как минимум раз в месяц пересобирался.
Свежий случай на другом форуме thyrex, по логу AVZ написал команды для удаления
Код:DeleteFile('C:\Windows\system32\Tasks\chrome5','64'); DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');скрипт thyrex целиком
Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; SetServiceStart('WindowsMangerProtect', 4); TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe'); QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe',''); QuarantineFile('C:\Users\123\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe',''); DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32'); DeleteFile('C:\Users\123\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Windows\Tasks\UpdaterEX.job','64'); DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32'); DeleteFile('C:\Windows\system32\Tasks\chrome5','64'); DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64'); DeleteService('WindowsMangerProtect'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Скрыть
В свежих логах AVZ в планироващике задания этого задания нет, а в позже запрошенных логах AdwCleaner (by Xplode) оно видно
В карантинах кибера эта малварь (InstallAddons.exe запускающийся через такие задания) вроде должна быть.***** [ Scheduled tasks ] *****
Task Found : chrome5
Task Found : chrome5_logon
Провел эксперимент в теме http://virusinfo.info/showthread.php?t=177840
При составлении скрипта параметр при удалении заданий вручную сменил на 32 вместо предлагаемого 64. Случайно пропустил для одного задания, и в итоге запись от него все равно осталась в логе Addition.txt
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот такую подмену ярлыков
утилита не видит>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Inter net Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr (2).lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\internet explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru
>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Inter net Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\internet explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru
>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Inter net Explorer\Quick Launch\User Pinned\TaskBar\Mоzillа Firеfох.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\mozilla firefox\firefox.bat"] -> start "" /I /B /D "c:\PROGRA~2\MOZILL~1\" "c:\PROGRA~2\MOZILL~1\firefox.exe" hxxp://search-poysk.ru
>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Inter net Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\users\user\appdata\local\yandex\yandexbrowser\ application\browser.bat"] -> start "" /I /B /D "c:\users\user\appdata\local\yandex\YANDEX~1\APPLI C~1\" "c:\users\user\appdata\local\yandex\YANDEX~1\APPLI C~1\browser.exe" -- hxxp://search-poysk.ru
>>> [script] "C:\Users\user\AppData\Roaming\Microsoft\Inter net Explorer\Quick Launch\User Pinned\TaskBar\Вконтакте.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\internet explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru
>>> [script] "C:\Users\user\AppData\Roaming\Microsoft\Inter net Explorer\Quick Launch\User Pinned\TaskBar\Одноклассники.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\internet explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru
>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Inter net Explorer\Quick Launch\User Pinned\TaskBar\Ореrа.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\opera\launcher.bat"] -> start "" /I /B /D "c:\PROGRA~2\opera\" "c:\PROGRA~2\opera\launcher.exe" hxxp://search-poysk.ru
>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Windows\S tart Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk" -> ["C:\Program Files (x86)\Internet Explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru
>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Windows\S tart Menu\Programs\Intеrnеt Ехрlоrеr.lnk" -> ["C:\Program Files (x86)\Internet Explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru
>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Windows\S tart Menu\Programs\Yandex\Yаndех.lnk" -> ["C:\Users\user\AppData\Local\Yandex\YandexBrowser\ Application\browser.bat" => --load-and-launch-app="C:\Program Files (x86)\Common Files\{37B535B0-B061-4F4E-AD6E-6D8458269203}\0.8"] -> start "" /I /B /D "c:\users\user\appdata\local\yandex\YANDEX~1\APPLI C~1\" "c:\users\user\appdata\local\yandex\YANDEX~1\APPLI C~1\browser.exe" -- hxxp://search-poysk.ru
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
2015-03-01 12:25 был обновлён полиморфный AVZ
1. В описании процессов и DLL ссылки удалены, сведения по файлу вынесены в столбец с описанием файла (для DLL это ранее был столбец с MD5)
2. В всех остальных секциях ссылки удалены, а то, что выводилось в них, выводится более мелким шрифтом под именем файла
3. Важные моменты в данных по файлу (создан с пределах последних 2 недель, атрибуты "скрытый" и "системный") выделяются цветом и жирностью, чтобы сразу бросалось в глаза
4. Добавлены сведения по файлам в планировщике заданий (ранее их не было)
5. Добавлен нормальный парсинг имен файлов и фильтрация по базе чистых в менеджере протоколов (ранее почему-то он там не был подключен)
в обычной версииДобавил пилюлю №23. Она делает резервную копию политик Google, после чего уничтожает их из реестра в HKLM и HKCU (базы уже вышли, после обновления данная пилюля появится в списке доступных)
Здравствуйте, Олег !
http://forum.oszone.net/post-2478143.html#post2478143Версия Windows: 6.2.9200, "Windows 10 Pro Technical Preview" ; AVZ работает с правами администратора
Здесь неверно определило название ОС.
Можно ли сделать что-то наподобие этого:
Скрытый текст
Код:Select Case MajorMinor_ Case 10 OSName_ = "Windows 10" & " (Ver. " & MajorMinor_ & ") (" & "Build: " & osi.dwBuildNumber & ")" Case 6.4 OSName_ = "Windows 10 Technical Preview" & " (Ver. " & MajorMinor_ & ") (" & "Build: " & osi.dwBuildNumber & ")" Case 6.3 If osi.wProductType = VER_NT_WORKSTATION Then OSName_ = "Windows 8.1" Else OSName_ = "Windows Server 2012 R2" End If Case 6.2 If osi.wProductType = VER_NT_WORKSTATION Then OSName_ = "Windows 8" Else OSName_ = "Windows Server 2012" End If Case 6.1 If osi.wProductType = VER_NT_WORKSTATION Then OSName_ = "Windows 7" Else OSName_ = "Windows Server 2008 R2" End If Case 6 If osi.wProductType = VER_NT_WORKSTATION Then OSName_ = "Windows Vista" Else OSName_ = "Windows Server 2008" End If Case 5.2 If GetSystemMetrics(SM_SERVERR2) Then OSName_ = "Windows Server 2003 R2" ElseIf osi.wSuiteMask And VER_SUITE_STORAGE_SERVER Then OSName_ = "Windows Storage Server 2003" ElseIf osi.wProductType = VER_NT_WORKSTATION And Bitness_ = "x64" Then OSName_ = "Windows XP" Edition_ = "Professional" Else OSName_ = "Windows Server 2003" End If Case 5.1 OSName_ = "Windows XP" If osi.wSuiteMask = VER_SUITE_PERSONAL Then Edition_ = "Home Edition" Else Edition_ = "Professional" End If Case 5 OSName_ = "Windows 2000" If osi.wProductType = VER_NT_WORKSTATION Then Edition_ = "Professional" Else If osi.wSuiteMask And VER_SUITE_DATACENTER Then Edition_ = "Datacenter Server" ElseIf osi.wSuiteMask And VER_SUITE_ENTERPRISE Then Edition_ = "Advanced Server" Else Edition_ = "Server" End If End If Case Else OSName_ = "Windows Unknown" & "(ver. " & MajorMinor_ & ") (" & "Build: " & osi.dwBuildNumber & ")" End SelectСкрыть