-
Junior Member
- Вес репутации
- 53
Монстр засел крепко
Здравствуйте еще раз!
Мы работали по теме Trojan.BAT.DelSys.ak, как сказал мне помощник карантинный файл был пуст. Смею утверждать, что имеем дело с монстром.
Решил переустановить ОС. Динамичекий винт преобразовал в осноные, часть информации оставил на логике и преступил к переустановке ОС.
В промежутке 17-13 минут до окончания процесса начали выскакивать песочные часы затем вылетела иконка установки Windows Installer, за 15 лет вижу впервые, чтобы при установке ОС появлялась такая чебурдень.
Установилась операционка, но английская версия, когда я устанавливаю русскую версию. Все стало ясно, ребята никуда не ушли, они здесь.
Начинаю первый проход акронисом уничтожать данные.
Прошел в конце ошибка не читается 63 64 66 сектор.
Вхожу в них, при попытке прочесть с них информацию поочередно перескакиваю с63 на 64 затем 65 и 66.
Делаю еще один проход акронисом вроде тишина.
Начал устанавливать ОС, также 17-13 минута до окончания песочница не так явно как в первый раз, но тем не менее.
В конце концов опять английская версия Windows.
Уважаемые что посоветуете, как заломать этого монстра, времени убил на него достаточно много, неплохо бы довести дело до конца.
Добавлено через 11 часов 32 минуты
Немного поизучав тему и вспомнив заставку я могу сказать, что имеем дело с руткитом.
Автор Эрез Метула из 2B Secure.
Программа .Net-Sploit 1.0
Описане проявления руткита сходится,и когда удалял сомнительные объекты выскакивала заставка.
Последний раз редактировалось Nepovita; 07.01.2010 в 12:02.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
Исследовал диск с Wind7.
Думаю почему невидим лог с карантинным файлом.
HKLM\Software\Wow6432Node\Microsoft\WBTM\Tracing\W MI\[LogFile]
значение %systemroot32%\system32\wbem\Kogs\WMITracing\log'
Как удалить запись
DefaultIcon со значением %systemRoot%\system32\sdcl.exe,-5503 в ключе HKLM\Software\Microsoft\Windows\CurrentVersion\exp lorer\AutoplayHandlers\Handlers\MSSdConfigBack
При удалении выскакивает
Unable to delete all specified value.
-
Junior Member
- Вес репутации
- 53
как убрать %System%\system32\sdclt.exe,-5503
Помогите удалить DefaultIcon со значением %System%\system32\sdclt.exe,-5503
из HKLM\Software\Microsoft\Windows\CurrentVersion\exp lorer\AutoplayHandlers\Handlers\MSSdConfigBack
Вероятно, нужен какой то скрипт под AVZ.
Добавлено через 58 минут
почему в скрипте
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Installer\29f46.msi','' );
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
нет ExecuteSysClean
Добавлено через 22 минуты
На сколько я соображаю,вы активировали в рутките Windows Insaller.
Поясните пожалуйста.
Если это так, что это такое?!!!!
Добавлено через 39 минут
Потрудитесь ответить на поставленные вопросы.
Последний раз редактировалось Nepovita; 08.01.2010 в 23:19.
Причина: Добавлено
-
Сообщение от
Nepovita
Помогите удалить DefaultIcon со значением %System%\system32\sdclt.exe,-5503
из HKLM\Software\Microsoft\Windows\CurrentVersion\exp lorer\AutoplayHandlers\Handlers\MSSdConfigBack
Установите Linux. Там такого нет.
-
-
Junior Member
- Вес репутации
- 53
AndreyKa spasibo za sovet
Vasek schegol pestrozady chto ty natvoryl?
-
Junior Member
- Вес репутации
- 53
Васек дорогой хотелось поделиться ощущениями, год назад когда только что купил машину Q9550 были тормаза в развитии скорости двигателя Рыба 160-190 кн/с что не могли понять мои соперники и я то же.
Сейчас это значение возрасло и гдето около 210-250 кн/с. В принципе этот показателть как то связан с просчетом колличества вариантов и соответсвенно качеством выбора хода.
Но я понял одну вещь при 18-60 ходе в зависимости от изученности и от самой выбранной схемы начинается сама игра то есть здесь должна память задействоваться как можно больше. В начале игры не так возникает много вариантов для просчета, затем эта величина увеличивается.
Бывает такая ситуация что в эндшпиле улетаешь по черному.Видимо так же зависит от множества вариантов, которые нужно просчитать. А у данной схемы обсчета это обстоятельство не учитывается. И машина прямо сыпится.
А так хотелось бы надрать задницу немцу Da Funk он же Clemens он же Murx он же Fredies, но думаю что он где то русский знает мног русского мата/Англичанина Sju неплохо было бы приобуть да и сакса Grujo.
Суважением
Всего доброго. Какие будут вопросы постараюсь ответить.