lamauser Опубликовано 2 ноября, 2007 Жалоба Поделиться Опубликовано 2 ноября, 2007 Имеем компьютер зараженный 1шт имеем лог osam, HiJackThis и AVZ на основании этого я написал следущий гениальный шедевр. begin SetAVZGuardStatus(True); SearchRootkit(true, true); BC_DeleteFile('C:\WINDOWS\system32\t0.dll'); BC_DeleteFile('C:\WINDOWS\system32\_svchost.exe'); BC_DeleteFile('C:\WINDOWS\system32\update177.exe');ExecuteSysClean; BC_Activate; RebootWindows(true); end. достаточно ли? что еще я проморгал? есть ли принципиальная разница между BC_DeleteFile и DeleteFile? п.с прозьба помидорами не закидывать..я тока учусь :blush2: Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 2 ноября, 2007 Жалоба Поделиться Опубликовано 2 ноября, 2007 (изменено) После выполнения скрипта вполне возможно, что у тебя пропадет инет. Можно: --или добавить в лог строку AutoFixSPI; --или скачать программу http://www.cexx.org/lspfix.zip и, в случае, если есть красная надпись Problems found in LSP chain. Press 'Finish' to make corrections нажми Finish. --или в OSAM сделать это безопасно, на вкладке Winsock Provides убрав галочку перед скорее всего красным значением "Layered IP" - ? - C:\WINDOWS\system32\t0.dll Изменено 4 ноября, 2007 пользователем ser208 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 2 ноября, 2007 Автор Жалоба Поделиться Опубликовано 2 ноября, 2007 После выполнения лога вполне возможно, что у тебя пропадет инет. Можно: --или добавить в лог строку AutoFixSPI; --или скачать программу http://www.cexx.org/lspfix.zip и, в случае, если есть красная надпись Problems found in LSP chain. Press 'Finish' to make corrections нажми Finish. --или в OSAM сделать это безопасно, на вкладке Winsock Provides убрав галочку перед скорее всего красным значением "Layered IP" - ? - C:\WINDOWS\system32\t0.dll учтем.... 1.добавил 2.фокус в том, что скачать не могу, вообще ниоткуда и ничего...что то блокирует 3.неа...не красное Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 2 ноября, 2007 Автор Жалоба Поделиться Опубликовано 2 ноября, 2007 выполнил с AutoFixSPI; инет таки пропал :blush2: пришлось воспользоваться 3м пунктом. еще в с:\ нашолся фаил anww.exe явно инородного происхождения...удалить в рукопашную не получается...пишет что кто то его использует. чаво это было?) з.ы тотал командером вынес anww.exe :D Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 4 ноября, 2007 Жалоба Поделиться Опубликовано 4 ноября, 2007 После выполнения лога вполне возможно, что у тебя пропадет инет.Можно: --или добавить в лог строку AutoFixSPI; --или скачать программу http://www.cexx.org/lspfix.zip и, в случае, если есть красная надпись Problems found in LSP chain. Press 'Finish' to make corrections нажми Finish. --или в OSAM сделать это безопасно, на вкладке Winsock Provides убрав галочку перед скорее всего красным значением "Layered IP" - ? - C:\WINDOWS\system32\t0.dll ser208На будущее: удалять что-либо из LSP при помощи OSAM не просто безопасно, а безопасней всего (если выбирать из трех предложенных тобою вариантов). Так как просто берешь и отключаешь любой вредоносный файл (интернет при этом пропасть не должен), перезагружаешь компьютер и удаляешь саму dll-ку (которая на тот момент уже "обезврежена"). В случаях с другими программами - стандартного решения нет и там нужно подумать, прежде чем нажимать на кнопку 'Finish' или AutoFixSPI. __________________________ lamauser Удали файл, если он всё еще присутствует на компьютере (так как OSAM обезвреживает его автозапуск, но не удаляет): C:\WINDOWS\system32\ t0.dll Плюс на всякий случай отключи с помощью OSAM в разделе Drivers следующее (т.е. убери галочку напротив нужного и нажми на Apply, чтобы эта запись также была задизейбленной): И после этого удали из папки OSAM\Data файл osamdata.bin чаво это было?)Чтобы точно сказать, что это было, нужно всё-таки видеть сам файл.Поэтому, если когда-нибудь что-то такое снова появиться и тебе будет интересно, просто запакуй копию этого файла и присоедини её к сообщению (либо вышли в PM). Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 4 ноября, 2007 Автор Жалоба Поделиться Опубликовано 4 ноября, 2007 Удали файл, если он всё еще присутствует на компьютере (так как OSAM обезвреживает его автозапуск, но не удаляет): C:\WINDOWS\system32\ t0.dll Плюс на всякий случай отключи с помощью OSAM в разделе Drivers следующее (т.е. убери галочку напротив нужного и нажми на Apply, чтобы эта запись также была задизейбленной): И после этого удали из папки OSAM\Data файл osamdata.bin фаила t0.dll нету dllka удалялась не osamом а AVZ (BC_DeleteFile('C:\WINDOWS\system32\t0.dll'):) ....есть t0.ini задизейблил Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.