IPB

Welcome Guest ( Log In | Register )

 
 Closed TopicStart new topic
> Вирусы в настройках сети и пилюля №15
thyrex
post 31.03.2012 00:14
Post #1


Helper
***************

Group: Moderators
Posts: 19906
Joined: 16.02.2008
From: Soligorsk, Belarus
Олег, сейчас в компании с Carberp и SpyEyes иногда приплывает вирус, который прописывается в сетевые настройки (пример заразы http://virusinfo.info/showthread.php?t=118323)

Причем иногда применение пилюль 14, а после и 15 не помогает восстановить сеть. И более того после 15 пилюли иногда пропадают все сетевые подключения и их невозможно создать вручную

На семерке таблетка №15 (без предварительного применения 14-й) привела даже к такой картине
QUOTE
А и еще в диспетчере устройств восклицательным знаком отображаются следующие устройства:
1)Минипорт WAN (IP)
2)Минипорт WAN (IPv6)
3)Минипорт WAN (Сетевой монитор)

Что посоветуете в данном случае?

+ Просьба проверить логику работы 15-й пилюли на семерке, а еще и поковыряться во внутренностях самой заразы.

И еще вопрос: после 15-й пилюли AVZ делает бэкап реестра, как после пилюли №6?

This post has been edited by thyrex: 31.03.2012 00:20


--------------------
Ждете помощи? Выполните Правила оказания помощи
Как выполнить скрипт в AVZ? - Что значит "пофиксить в HiJack"? - Отчет утилиты GSI (GetSystemInfo)
Полиморфный AVZ (базы от 11.11.12) - Утилита KAVRemover - KAV Rescue Disc
Вирусы и решения - Утилиты для борьбы с вирусами
Go to the top of the page
 
+Quote Post
AndreyKondaurov
post 31.03.2012 15:15
Post #2


Member
**

Group: Members
Posts: 18
Joined: 9.03.2012
Вирусы тут не причём. Пилюля №15 убивает сетевые подключения и на чистых компьютерах. Внесение в реестр reg файлов из папки Backup не помогает.
Go to the top of the page
 
+Quote Post
Zaitsev Oleg
post 31.03.2012 18:01
Post #3


Developer
****

Group: KL Russia
Posts: 254
Joined: 5.05.2007
From: Smolensk
QUOTE(thyrex @ 31.03.2012 00:14) *
Олег, сейчас в компании с Carberp и SpyEyes иногда приплывает вирус, который прописывается в сетевые настройки (пример заразы http://virusinfo.info/showthread.php?t=118323)

Причем иногда применение пилюль 14, а после и 15 не помогает восстановить сеть. И более того после 15 пилюли иногда пропадают все сетевые подключения и их невозможно создать вручную

На семерке таблетка №15 (без предварительного применения 14-й) привела даже к такой картине

Что посоветуете в данном случае?

+ Просьба проверить логику работы 15-й пилюли на семерке, а еще и поковыряться во внутренностях самой заразы.

И еще вопрос: после 15-й пилюли AVZ делает бэкап реестра, как после пилюли №6?

Семпл есть ? Если да, то причину проблем с сетевыми настройками и "пилюлю" притив этого я сделаю запросто ...
По поводу пилюли 15, там эффективный код буквально следующий (бекап перед этим есть):
RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Network');
ExecuteFile('netsh int ip reset name=ipreset.log', '', 0, 20000, true);
ExecuteFile('netsh winsock reset catalog name=ipreset1.log', '', 0, 20000, true);
Т.е. прибивается ключ с настройками сети и затем через утилиту командной строки netsh делается сброс и восстановление настроек
Go to the top of the page
 
+Quote Post
thyrex
post 31.03.2012 19:19
Post #4


Helper
***************

Group: Moderators
Posts: 19906
Joined: 16.02.2008
From: Soligorsk, Belarus
Сэмпл - дроппер или карантин AVZ?

Если второе, то могу даже номера KLAN дать с этим же зверьем в виде библиотеки, но под другим именем

KLAN-257421902
KLAN-258813462

Есть бэкап веток реестра перед пилюлей №15

This post has been edited by thyrex: 31.03.2012 21:07


--------------------
Ждете помощи? Выполните Правила оказания помощи
Как выполнить скрипт в AVZ? - Что значит "пофиксить в HiJack"? - Отчет утилиты GSI (GetSystemInfo)
Полиморфный AVZ (базы от 11.11.12) - Утилита KAVRemover - KAV Rescue Disc
Вирусы и решения - Утилиты для борьбы с вирусами
Go to the top of the page
 
+Quote Post
AndreyKondaurov
post 1.04.2012 23:22
Post #5


Member
**

Group: Members
Posts: 18
Joined: 9.03.2012
QUOTE(thyrex @ 31.03.2012 00:14) *
после 15 пилюли иногда пропадают все сетевые подключения и их невозможно создать вручную

Удалось восстановить подключения по локальной сети на Windows XP таким образом:
1. Запустил файл fix15pill.reg. В нём сохранён параметр ClassManagers с типом REG_MULTI_SZ, который не сохраняется в резервной копии реестра из-за этой ошибки AVZ.
2. Правой кнопкой на Мой компьютер - Свойства - Оборудование - Диспетчер устройств.
3. Удалил сетевую плату.
4. Перезагрузил компьютер. Драйвер сетевой платы автоматически установился.
5. В сетевых подключениях правой кнопкой на Подключение по локальной сети - Свойства. Установил нужные протоколы.

This post has been edited by AndreyKondaurov: 1.04.2012 23:23
Attached File(s)
Attached File  fix15pill.zip ( 567bytes ) Number of downloads: 20
 
Go to the top of the page
 
+Quote Post
Zaitsev Oleg
post 2.04.2012 19:15
Post #6


Developer
****

Group: KL Russia
Posts: 254
Joined: 5.05.2007
From: Smolensk
такое восстановление вручную не есть хорошо, в идеале должно все автоматом делаться. Проблема с таблеткой 15 появилась 2 недели назад - см. http://forum.kaspersky.com/index.php?showtopic=231362 - эта таблетка вообще была неисправна из-за досадной опечатки в коде. Я внес изменения, в теории теперь сброс сетевых настроек будет проходить без проблем.
Go to the top of the page
 
+Quote Post
ZloiUser
post 2.05.2012 13:55
Post #7


Kaspersky Fan I
********

Group: Gold beta testers
Posts: 1351
Joined: 18.09.2008
From: Kazahstan
QUOTE(Zaitsev Oleg @ 2.04.2012 21:15) *
такое восстановление вручную не есть хорошо, в идеале должно все автоматом делаться. Проблема с таблеткой 15 появилась 2 недели назад - см. http://forum.kaspersky.com/index.php?showtopic=231362 - эта таблетка вообще была неисправна из-за досадной опечатки в коде. Я внес изменения, в теории теперь сброс сетевых настроек будет проходить без проблем.

изменения придут с базами или в новой версии?


--------------------
Нейтральная территория помощи
Скрипт обновления Kaspersky Rescue Disk 8.0 & 10.0

AgiliaLinux - самый добрый и дружелюбный дистрибутив линукса
AVLoader:
2.0.1.3
Go to the top of the page
 
+Quote Post
thyrex
post 2.05.2012 21:51
Post #8


Helper
***************

Group: Moderators
Posts: 19906
Joined: 16.02.2008
From: Soligorsk, Belarus
ZloiUser

Все уже давнот исправлено smile.gif


--------------------
Ждете помощи? Выполните Правила оказания помощи
Как выполнить скрипт в AVZ? - Что значит "пофиксить в HiJack"? - Отчет утилиты GSI (GetSystemInfo)
Полиморфный AVZ (базы от 11.11.12) - Утилита KAVRemover - KAV Rescue Disc
Вирусы и решения - Утилиты для борьбы с вирусами
Go to the top of the page
 
+Quote Post
ZloiUser
post 3.05.2012 09:03
Post #9


Kaspersky Fan I
********

Group: Gold beta testers
Posts: 1351
Joined: 18.09.2008
From: Kazahstan
QUOTE(thyrex @ 2.05.2012 23:51) *
ZloiUser

Все уже давнот исправлено smile.gif

аааа ну классно, главное работает, как надо smile.gif


--------------------
Нейтральная территория помощи
Скрипт обновления Kaspersky Rescue Disk 8.0 & 10.0

AgiliaLinux - самый добрый и дружелюбный дистрибутив линукса
AVLoader:
2.0.1.3
Go to the top of the page
 
+Quote Post
« Next Oldest · Основной раздел AVZ · Next Newest »
 

Closed TopicStart new topic

 

Display Mode: Standard · Switch to: Linear+ · Switch to: Outline

Track this topic · Email this topic · Print this topic · Subscribe to this forum

Lo-Fi Version Time is now: 21.05.2013 23:15
Powered By IP.Board © 2013  IPS, Inc.
Licensed to: Kaspersky Lab