Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

не срабатывает скрипт AVZ (заявка № 9708)

  1. #1
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для barsukRed
    Регистрация
    31.12.2006
    Сообщений
    163
    Вес репутации
    100

    Thumbs up не срабатывает скрипт AVZ

    Чесно говоря,не думаю,что это сообщение подходит для этого раздела,но модератор направил сюда.Суть проблемы: прошу помощи у специалистов:
    Имеется в наличии зловред fun.xis.exe.При запуске создает процесс algsrvs.exe;вносятся записи в реестр через ключ Run для загрузки msime82.exe и msfun80.exe;создаются файлы fun.xis.exe и AUTORUN.INF на диске C:.Я накропал скрипт для удаления,но AVZ не удаляет их!
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    BC_DeleteSvc('PE386'); 
    BC_DeleteSvc('algsrvs');
    DeleteFile('C:\fun.xis.exe');
    DeleteFile('C:\WINDOWS\system32\msime82.exe');
    DeleteFile('C:\WINDOWS\system32\msfun80.exe');
    DeleteFile('C:\WINDOWS\system32\algsrvs.exe');
    BC_ImportDeletedList; 
    ExecuteSysClean;
    BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
    BC_Activate;  
    RebootWindows(true);
    end.
    после перезагрузки все файлы на местах
    Подскажите,что здесь неправильно?

    HijackThis все удаляет в такой последовательности;
    1 Пофиксил строчки автозапуска для msime82.exe и msfun80.exe
    2 Убил процесс algsrvs.exe
    3 запланировал удаление с перезагрузкой для algsrvs.exe,fun.xis.exe,msime82.exe,msfun80.exe
    и все в порядке...
    А с AVZ не получается...
    Последний раз редактировалось barsukRed; 08.06.2007 в 09:44.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Вы сами-то логи просматривали?
    Там нет ни намека на те файлы, о которых вы говорите.
    Система абсолютно чистая.
    I am not young enough to know everything...

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для barsukRed
    Регистрация
    31.12.2006
    Сообщений
    163
    Вес репутации
    100
    Да вопрос то в другом.Не удаляются злофайлы с помощью AVZ... HijackThis-ом я их вычистил.
    Последний раз редактировалось barsukRed; 14.05.2007 в 16:11.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Ну не знаю, в скрипте все правильно написано, должны были удалиться.
    Если есть желание поэкспериментировать, оживите зверя еще раз и сделайте логи, а мы полечим
    I am not young enough to know everything...

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1362
    А логи из той-же системы сделаны? Намека на зловредов нет. А ручками не пробовали удалять?

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для barsukRed
    Регистрация
    31.12.2006
    Сообщений
    163
    Вес репутации
    100
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    А логи из той-же системы сделаны? Намека на зловредов нет. А ручками не пробовали удалять?
    Руками удаляются хорошо.Я тренировался в написании скриптов для AVZ и обнаружил что скрипт не работает для этого зверя...Зверь то не серьезный,я его и выбрал из-за нестыковки его описания работы в интернете и моих наблюдений.

  8. #7
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для barsukRed
    Регистрация
    31.12.2006
    Сообщений
    163
    Вес репутации
    100
    Комп заражен,SSM не запущен,логи прилагаю.
    Последний раз редактировалось barsukRed; 08.06.2007 в 09:49.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Ну пробуйте, неужто не прибъет?
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\algsrvs.exe');
     DeleteFile('C:\WINDOWS\system32\msfun80.exe');
     DeleteFile('C:\WINDOWS\system32\msime82.exe');
     DeleteFile('C:\fun.xis.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    I am not young enough to know everything...

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    Вдогонку, два уточнения: виден не только System Safety Monitor, но и куски от Process Guard; версия AVZ в логах 4.24 , актуальная - 4.25.

  11. #10
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для barsukRed
    Регистрация
    31.12.2006
    Сообщений
    163
    Вес репутации
    100
    Process Guard у меня стоит,пользуюсь им.версия AVZ 4.24 это верно,но неужели разница настолько серьезная?Cкрипт применил-все по старому.SSM если включу-он зверя прибьет.Лечить HijackThis-ом?

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    AVZ 4.24 это верно,но неужели разница настолько серьезная
    В каждой версии добавляются новые функции для лечения системы. Хелперы пишут скрипты исходя из того, что у клиента установлена самая последняя версия. Попробуйте выполнить написаный для Вас скрипт в новой версии AVZ.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Попробуйте все-таки версию 4.25, может какой-то глюк был в 24-й.
    I am not young enough to know everything...

  14. #13
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для barsukRed
    Регистрация
    31.12.2006
    Сообщений
    163
    Вес репутации
    100
    Хорошо,я все понял.Качаю 4.25.А в чем отличие скрипта 4.24 от 4.25(не любопытства ради а накопления знаний... )

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    В данном случае отличий нет, но иногда они бывают.

  16. #15
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для barsukRed
    Регистрация
    31.12.2006
    Сообщений
    163
    Вес репутации
    100
    спасибо

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    В новой версии скрипт сработал?

  18. #17
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для barsukRed
    Регистрация
    31.12.2006
    Сообщений
    163
    Вес репутации
    100
    Попробую завтра,спасибо за отзывчивость

  19. #18
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для barsukRed
    Регистрация
    31.12.2006
    Сообщений
    163
    Вес репутации
    100
    Цитата Сообщение от MaXim Посмотреть сообщение
    В новой версии скрипт сработал?
    Да,в новой версии скрипт работает.Большое всем спасибо за участие. логи проверил-все чисто.

  20. #19
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для barsukRed
    Регистрация
    31.12.2006
    Сообщений
    163
    Вес репутации
    100
    Цитата Сообщение от Bratez Посмотреть сообщение
    Ну пробуйте, неужто не прибъет?
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\algsrvs.exe');
     DeleteFile('C:\WINDOWS\system32\msfun80.exe');
     DeleteFile('C:\WINDOWS\system32\msime82.exe');
     DeleteFile('C:\fun.xis.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Bratez,извините меня за беспокойство,но я никак не могу понять.как Вы определили этот адрес DeleteFile('C:\fun.xis.exe');?Ведь упоминания в логах на fun.xis.exe нигде нет!

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555

    А Вы перечитайте свой собственный пост #1 и свой собственный скрипт.
    I am not young enough to know everything...

  • Уважаемый(ая) barsukRed, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. не срабатывает "выполнить скрипт" в AVZ
      От arinaa в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 12.09.2011, 08:41
    2. Ответов: 2
      Последнее сообщение: 03.09.2010, 16:55
    3. DRweb CureIt не срабатывает
      От iuric196 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.05.2010, 13:57
    4. DRweb CureIt не срабатывает
      От iuric196 в разделе Malware Removal Service
      Ответов: 0
      Последнее сообщение: 20.05.2010, 12:47
    5. Почему не срабатывает?
      От Vladimiroleg в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.03.2010, 11:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01138 seconds with 16 queries