Sign in to follow this  
Followers 0
thyrex

Вирусы в настройках сети и пилюля №15

9 posts in this topic

Олег, сейчас в компании с Carberp и SpyEyes иногда приплывает вирус, который прописывается в сетевые настройки (пример заразы http://virusinfo.info/showthread.php?t=118323)

 

Причем иногда применение пилюль 14, а после и 15 не помогает восстановить сеть. И более того после 15 пилюли иногда пропадают все сетевые подключения и их невозможно создать вручную

 

На семерке таблетка №15 (без предварительного применения 14-й) привела даже к такой картине

А и еще в диспетчере устройств восклицательным знаком отображаются следующие устройства:

1)Минипорт WAN (IP)

2)Минипорт WAN (IPv6)

3)Минипорт WAN (Сетевой монитор)

Что посоветуете в данном случае?

 

+ Просьба проверить логику работы 15-й пилюли на семерке, а еще и поковыряться во внутренностях самой заразы.

 

И еще вопрос: после 15-й пилюли AVZ делает бэкап реестра, как после пилюли №6?

Edited by thyrex

Share this post


Link to post
Share on other sites

Вирусы тут не причём. Пилюля №15 убивает сетевые подключения и на чистых компьютерах. Внесение в реестр reg файлов из папки Backup не помогает.

Share this post


Link to post
Share on other sites
Олег, сейчас в компании с Carberp и SpyEyes иногда приплывает вирус, который прописывается в сетевые настройки (пример заразы http://virusinfo.info/showthread.php?t=118323)

 

Причем иногда применение пилюль 14, а после и 15 не помогает восстановить сеть. И более того после 15 пилюли иногда пропадают все сетевые подключения и их невозможно создать вручную

 

На семерке таблетка №15 (без предварительного применения 14-й) привела даже к такой картине

 

Что посоветуете в данном случае?

 

+ Просьба проверить логику работы 15-й пилюли на семерке, а еще и поковыряться во внутренностях самой заразы.

 

И еще вопрос: после 15-й пилюли AVZ делает бэкап реестра, как после пилюли №6?

Семпл есть ? Если да, то причину проблем с сетевыми настройками и "пилюлю" притив этого я сделаю запросто ...

По поводу пилюли 15, там эффективный код буквально следующий (бекап перед этим есть):

RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Network');

ExecuteFile('netsh int ip reset name=ipreset.log', '', 0, 20000, true);

ExecuteFile('netsh winsock reset catalog name=ipreset1.log', '', 0, 20000, true);

Т.е. прибивается ключ с настройками сети и затем через утилиту командной строки netsh делается сброс и восстановление настроек

Share this post


Link to post
Share on other sites

Сэмпл - дроппер или карантин AVZ?

 

Если второе, то могу даже номера KLAN дать с этим же зверьем в виде библиотеки, но под другим именем

 

KLAN-257421902

KLAN-258813462

 

Есть бэкап веток реестра перед пилюлей №15

Edited by thyrex

Share this post


Link to post
Share on other sites
после 15 пилюли иногда пропадают все сетевые подключения и их невозможно создать вручную

Удалось восстановить подключения по локальной сети на Windows XP таким образом:

1. Запустил файл fix15pill.reg. В нём сохранён параметр ClassManagers с типом REG_MULTI_SZ, который не сохраняется в резервной копии реестра из-за этой ошибки AVZ.

2. Правой кнопкой на Мой компьютер - Свойства - Оборудование - Диспетчер устройств.

3. Удалил сетевую плату.

4. Перезагрузил компьютер. Драйвер сетевой платы автоматически установился.

5. В сетевых подключениях правой кнопкой на Подключение по локальной сети - Свойства. Установил нужные протоколы.

fix15pill.zip

Edited by AndreyKondaurov

Share this post


Link to post
Share on other sites

такое восстановление вручную не есть хорошо, в идеале должно все автоматом делаться. Проблема с таблеткой 15 появилась 2 недели назад - см. http://forum.kaspersky.com/index.php?showtopic=231362 - эта таблетка вообще была неисправна из-за досадной опечатки в коде. Я внес изменения, в теории теперь сброс сетевых настроек будет проходить без проблем.

Share this post


Link to post
Share on other sites
такое восстановление вручную не есть хорошо, в идеале должно все автоматом делаться. Проблема с таблеткой 15 появилась 2 недели назад - см. http://forum.kaspersky.com/index.php?showtopic=231362 - эта таблетка вообще была неисправна из-за досадной опечатки в коде. Я внес изменения, в теории теперь сброс сетевых настроек будет проходить без проблем.

изменения придут с базами или в новой версии?

Share this post


Link to post
Share on other sites

ZloiUser

 

Все уже давнот исправлено :)

Share this post


Link to post
Share on other sites
ZloiUser

 

Все уже давнот исправлено :)

аааа ну классно, главное работает, как надо :)

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.
Sign in to follow this  
Followers 0