друг подхватил смс блокера, просит помочь. чем посоветуете лечить? Доступа к инету скорее всего не будет, возможности мотаться до дома за инструментами тоже.Что необходимо и желательно взять?
SpankyHam
Доцент
Kiev
1.6K 386
Отв.321 12 Янв. 11, 20:11, через 6 мин
Приборы и материалы: 1. Флэшноситель с записаной на него Антивирусной утилитой Зайцева 2. Компакт диск или загрузочный флэшноситель с portable ОС Windows PE. 3. SAS, будь то Free Edition или Portable.SpankyHam, 09 Марта 10, 22:32
Долго не мудрствуя, грузитесь с диска или флэшки с РЕ, ищите в windows\system32\drivers файл .sys или .dll с атрибутом "скрытый". Потом все из временных папок, в т.ч. кэш браузеров фтопку, потом по дате поищите свежие .exe .sys .dll и пр. в системных путях. Когда нормально запуститесь, прочешите SAS. Потом уже отчет сюда.
KD
Научный сотрудник
Танкоград
1.4K 648
Отв.322 12 Янв. 11, 20:16, через 6 мин
понял, учту.
Андрей
Администратор
Бухарест
5.2K 4.8K 2
Отв.323 13 Янв. 11, 01:54
Щас проверил ради прикола доступ к рабочему столу сервера, работает сделал сканирование. пароль тот же.
Андрей, чисто. То, чего было, больше нет. С авз осторожно! Лишние действия крайне противопоказаны. Смешно видеть c:\usr\local\perl\lib Нормальный слэш так и просится /
KD, как дела? Побороли?
SpankyHam
Доцент
Kiev
1.6K 386
Отв.325 13 Янв. 11, 22:36, через 19 мин
Митрич, извини, замотался, не забыл о тебе, просто замотался. Ты SAS прочесал комп? Что нашел? Если хочешь вырвать того подозрительного, в авз файл-выполнить скрипт В окно вставляешь код, приведенный ниже и нажимаешь пуск.
begin SetAVZPMStatus(True); SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('C:\Documents and Settings\Мария Сергеевна\Мои документы\SmileBar\smilebar.dll',''); DeleteFile('C:\Documents and Settings\Мария Сергеевна\Мои документы\SmileBar\smilebar.dll'); BC_DeleteFile('C:\Documents and Settings\Мария Сергеевна\Мои документы\SmileBar\smilebar.dll'); BC_ImportDeletedList; BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Комп перегрузится. Потом файл-МПиУП Системные пр. устрани все, что найдет. Еще раз подчеркну, что классифицировать файл, как зловред, не могу. Вырывание его на работу не повлияет. Это панель со смайликами в браузер.
Митрич
Кандидат наук
Трехгорный
452 196
Отв.326 13 Янв. 11, 22:48, через 13 мин
Все нормально вроде. SAS нашла чтото, удалила. А те адреса, которые ты увидел. Они вообще в профиле, которого уже давно нет.
Митрич, вот мои подозрения:1. C:\Documents and Settings\Мария Сергеевна\Мои документы\SmileBar\smilebar.dllSpankyHam, 06 Янв. 11, 01:48
Почему авз их показала, незнаю. Сейчас запущу скрипт. Спасибо. Как дочка, вылечил?
SpankyHam
Доцент
Kiev
1.6K 386
Отв.327 13 Янв. 11, 22:56, через 9 мин
Да, спасибо. Обычная бацилла. На елке 2-го побывали. Ничего страшного.
Митрич
Кандидат наук
Трехгорный
452 196
Отв.328 14 Янв. 11, 00:06
Все сделал, комп даже вроде как повеселей работать стал. Еще раз спасибо. И с новым годом.
waltor
Научный сотрудник
Красноярск
1.5K 315
Отв.329 14 Янв. 11, 09:48
Спанки,такой трабл.Стояло у меня два винта IDEшных,а тут прикупил SATAвский.Установил,всё путём.Система стоит на старом. Но при запуске не грузит с винта,жму Esc,не помню как на вражеском,ну в общем ставлю загруз с винта и всё окей.Но в биос не могу войти,чтобы поставить это по умолчанию.
SpankyHam
Доцент
Kiev
1.6K 386
Отв.330 14 Янв. 11, 09:59, через 11 мин
Вход в настройки БИОС ч-з Delete или F2 У врага, чаще всего, второе.
KD
Научный сотрудник
Танкоград
1.4K 648
Отв.331 14 Янв. 11, 10:18, через 20 мин
KD, как дела? Побороли?SpankyHam, 14 Янв. 11, 00:17
Если честно, то боролись не очень усердно, ибо я взял своей на кедре. В общем прочесал комп сначала курейтом др. веба, потом утилитой от касперского. Первый нашел некритичную (архивы, еще что-то) бяку в количестве 3 шт. Второй одну, но уже какой-то экзешник. После курейта уже пропал экран блокировки, но рабочего стола не появилось. Стал возможен запуск диспетчера задач и проводника через него. На этом остановились, ибо на работу пора было. ЗЫ в общем сейчас комп грузится, появляются обои, и все, больше никакого интерфейса нет
SpankyHam
Доцент
Kiev
1.6K 386
Отв.332 14 Янв. 11, 10:33, через 15 мин
Рекомендации по-боку )))) простых путей не ищем! Подсунь живой winlogon.exe userinit.exe и explorer.exe с рабочей машины. Диспетчер задач волшебной комбинацией вызвать можешь? Если да, ч-з него запусти редактор реестра. Исправь ветку HKLM/software/microsoft/windows/windowsNT/winlogon параметр userinit к виду userinit.exe, Если не вызывается, грузись в ПЕ и ч-з тамошний редактор реестра подключай куст из c:/windows/system32/config/SOFTWARE Пишу по памяти, вроде пути ок...
После перезагрузки попробуй, расскажи симптомы, сделай еще один, такой-же отчет. Поставь туда антивирус, хоть долбаный аваст. Все-ж защита. Устаови туда SAS не портэйбл, периодически обновляй и прогоняй.
SpankyHam
Доцент
Kiev
1.6K 386
Отв.337 14 Янв. 11, 16:20, через 28 мин
KD, в дополнение к этому [сообщение #11341978] моему к тебе посту: Чем плохи машинные тупые сканеры? Вот твой пример показателен. Бацилла заменила или заразила важный системный файл типа userinit, explorer, winlogon или svchost, или дописала в параметр userinit вместо userinit.exe, - userinit.exe,xynbambcem.exe,yopt.dll Тупой паук вырывает нахер файлы, ничего не дав взамен. А винда доходит до загрузки userinit и становится в затык, потому, что, либо файла нету, либо йопт.длл , которых и нафиг не нужен отсутствует. А ленивый админ чешет репу и вспоминает "формат что?", и где дистрибутив... авз дает возможность увидеть все, что грузится и не грузится, подключить или отключить, вернуть взад и тд. Исправляем одну строку в реестре, суем из бэкапа нужный файл, вместо фальшивого, ошеломленный владелец, увидев, как Писюк вдруг заработал, как ни в чем ни бывало, несет к кедровке добавку и закуску. И пьете, ну совсем с другим настроением!
