lamauser Опубликовано 2 ноября, 2007 Жалоба Поделиться Опубликовано 2 ноября, 2007 Имеем компьютер зараженный 1шт имеем лог osam, HiJackThis и AVZ на основании этого я написал следущий гениальный шедевр. begin SetAVZGuardStatus(True); SearchRootkit(true, true); BC_DeleteFile('C:\WINDOWS\system32\t0.dll'); BC_DeleteFile('C:\WINDOWS\system32\_svchost.exe'); BC_DeleteFile('C:\WINDOWS\system32\update177.exe');ExecuteSysClean; BC_Activate; RebootWindows(true); end. достаточно ли? что еще я проморгал? есть ли принципиальная разница между BC_DeleteFile и DeleteFile? п.с прозьба помидорами не закидывать..я тока учусь :blush2: Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 2 ноября, 2007 Жалоба Поделиться Опубликовано 2 ноября, 2007 (изменено) После выполнения скрипта вполне возможно, что у тебя пропадет инет. Можно: --или добавить в лог строку AutoFixSPI; --или скачать программу http://www.cexx.org/lspfix.zip и, в случае, если есть красная надпись Problems found in LSP chain. Press 'Finish' to make corrections нажми Finish. --или в OSAM сделать это безопасно, на вкладке Winsock Provides убрав галочку перед скорее всего красным значением "Layered IP" - ? - C:\WINDOWS\system32\t0.dll Изменено 4 ноября, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 2 ноября, 2007 Автор Жалоба Поделиться Опубликовано 2 ноября, 2007 После выполнения лога вполне возможно, что у тебя пропадет инет. Можно: --или добавить в лог строку AutoFixSPI; --или скачать программу http://www.cexx.org/lspfix.zip и, в случае, если есть красная надпись Problems found in LSP chain. Press 'Finish' to make corrections нажми Finish. --или в OSAM сделать это безопасно, на вкладке Winsock Provides убрав галочку перед скорее всего красным значением "Layered IP" - ? - C:\WINDOWS\system32\t0.dll учтем.... 1.добавил 2.фокус в том, что скачать не могу, вообще ниоткуда и ничего...что то блокирует 3.неа...не красное Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 2 ноября, 2007 Автор Жалоба Поделиться Опубликовано 2 ноября, 2007 выполнил с AutoFixSPI; инет таки пропал :blush2: пришлось воспользоваться 3м пунктом. еще в с:\ нашолся фаил anww.exe явно инородного происхождения...удалить в рукопашную не получается...пишет что кто то его использует. чаво это было?) з.ы тотал командером вынес anww.exe :D Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 4 ноября, 2007 Жалоба Поделиться Опубликовано 4 ноября, 2007 После выполнения лога вполне возможно, что у тебя пропадет инет.Можно: --или добавить в лог строку AutoFixSPI; --или скачать программу http://www.cexx.org/lspfix.zip и, в случае, если есть красная надпись Problems found in LSP chain. Press 'Finish' to make corrections нажми Finish. --или в OSAM сделать это безопасно, на вкладке Winsock Provides убрав галочку перед скорее всего красным значением "Layered IP" - ? - C:\WINDOWS\system32\t0.dll ser208На будущее: удалять что-либо из LSP при помощи OSAM не просто безопасно, а безопасней всего (если выбирать из трех предложенных тобою вариантов). Так как просто берешь и отключаешь любой вредоносный файл (интернет при этом пропасть не должен), перезагружаешь компьютер и удаляешь саму dll-ку (которая на тот момент уже "обезврежена"). В случаях с другими программами - стандартного решения нет и там нужно подумать, прежде чем нажимать на кнопку 'Finish' или AutoFixSPI. __________________________ lamauser Удали файл, если он всё еще присутствует на компьютере (так как OSAM обезвреживает его автозапуск, но не удаляет): C:\WINDOWS\system32\ t0.dll Плюс на всякий случай отключи с помощью OSAM в разделе Drivers следующее (т.е. убери галочку напротив нужного и нажми на Apply, чтобы эта запись также была задизейбленной): И после этого удали из папки OSAM\Data файл osamdata.bin чаво это было?)Чтобы точно сказать, что это было, нужно всё-таки видеть сам файл.Поэтому, если когда-нибудь что-то такое снова появиться и тебе будет интересно, просто запакуй копию этого файла и присоедини её к сообщению (либо вышли в PM). Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 4 ноября, 2007 Автор Жалоба Поделиться Опубликовано 4 ноября, 2007 Удали файл, если он всё еще присутствует на компьютере (так как OSAM обезвреживает его автозапуск, но не удаляет): C:\WINDOWS\system32\ t0.dll Плюс на всякий случай отключи с помощью OSAM в разделе Drivers следующее (т.е. убери галочку напротив нужного и нажми на Apply, чтобы эта запись также была задизейбленной): И после этого удали из папки OSAM\Data файл osamdata.bin фаила t0.dll нету dllka удалялась не osamом а AVZ (BC_DeleteFile('C:\WINDOWS\system32\t0.dll'):) ....есть t0.ini задизейблил Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти