Вирус, нейтрализующий Касперский. Поделитесь опытом, плизз

[Miker]

В общем то, суть такова. На клиентской машине были самоустановлены различные настройки к Эксплореру, во всяком случае грешу на них, и заблокировался сайт касперского. Ни через какой браузер не кажет, ни обновить нельзя. Смотрел разрешения в эксплорере, отключил брандмауэр, сейчас обновил через zip-архив свежим обновлением и поставил на полную проверку..

Но однако же - где сидит запретительная настройка и чем лечить. В данном случае - цена вопроса - переставлять ли винду по такому поводу (море программ, включая 1С, голосовую и видеосвязь, в общем - по полной программе) либо найти баг. Другой антивирус не катит ибо Нортон 2005 с катушек сошёл на 2-й день, почему то нестабильный он, а к другим - доверия клиента да и моего - нет).. В общем - по сути - знает кто что где прописать/удалить аль нет?)

[color=green][size=9]Добавлено спустя 1 минуту 48 секунд:[/size][/color]

Да и- забыл добавить) Система зачищена вручную от всяких резидентов, ничего подозрительного и чужого не висит в процессах, в инете ничто никуда трафик не ест)... Короче - простейшие версии типа "Ба, да у тебя же там роза!" - не катят))

[Alexx]

проверь открыты ли порты 4438-4463
если закрыты тогда открой, должно сработать

[Miker]

Alexx гы) не скажешь, как объяснить "открыть порты" юзверю и мне в частности?) На хрени всё это, ессно).. Вроде файрвола не стоит, стандартный отключен - нечему их ни закрывать ни открывать))

[Alexx]

Так поставь кайнибудь фаер и глянь он хоть куданибудь ломится при апдейте

[Alexx]

Открой файл %System%\drivers\etc\hosts
если там будет запись типа - 127.0.0.1 www.avp.ru - или подобные
значит есть какая-то зараза, попробуй удалить все записи
кроме 127.0.0.1 localhost

Добавлено спустя 6 минут 53 секунды:

Хотя это не показатель, вовсяком случае посмотри, вирус мог и другим путем пойти, если конечно он там есть.

[Andrey_SRU]

Miker тыж типо сам вирусы пишешь? ты должен знать почму такие проблемы:)

Добавлено спустя 8 минут 42 секунды:

и еще:

яж говорил что ты сам знаешь - чем мне вирусочитателю вирусопесатели не нравятся.

вот возьми и напиши на Си программку для сканинга на нулевом кольце.
как это сделал когдато твой вирусочетатель.

[Andrey_SRU]

erase me хе хе да...

[Miker]

Andrey_ru а оно мне надо?)
erase me Однако форматирование и прочее - это лишнее).. А полиморфы и прочее, как бы не называлось - сие физически есть, и если только не запорчен какой нить важный файл типа того же эксплорера или lsass, как в случае с msblast - иной, то - спокойно удаляется вручную).. Кстати - забыл добавить, монитор то оставлять иль нет старый после такого вируса?))

Alexx Спасибо за совет, попробую, о результатах, как только будут - напишу)

[Женька]

заюзай Spybot - Search&Destroy ... это для начала
глянь.. пингует ли тачка хост касперского
и воткни сниффер, и смотри куда пакеты ходят када коннектишься к апдейтам для антивиря

Добавлено спустя 2 минуты 16 секунд:

переставлять систему - не панацея
у меня нарабочей тачке винда пашет с октября 2002 года.. и вирусняки были.. все было.. но ни разу не переставлял.. при умелом подходе и прямых руках все можно поправить без переустановки... переустанавливать винду - мозгов не надо

[Andrey_SRU]

erase me я вижу ты журнальчик ХАКЕР почитваешь.

вот расскажи тем кто тут читает все это про кольца windows nt, и про то что нельзя типа доступ на Си сделать.

ато нипонятно ниче понимаешь ли.

[Женька]

андрей ру
фтыкай внимательно.. про свои кольца

[Miker]

Вот и у меня так же).. Сносить не люблю... судя по всему, из ответов исходит, что действия для такой борьбы - очень геморны и корректных и простых отображений средствами самого ХРена нет. Отсюда вывод - если Касперский не излечит - придётся всё таки переснести винду. Кстати, защита от таких глюков в 0-383 Касперском уже есть, а вот в 226-м нету.

Всем спасибо!

[Andrey_SRU]

erase me
Да лано забей на это. Поштил я. Для микера писал.
Никто кроме тя не посмеялся. Ктот даже пример тут привел какой то.
Про кольца я знаю. Както пытался дрова писать.

Женька че это за пнг.

[Miker]

erase me вот интересно, что, кроме рук пользователя, даст вирусу-полиморфу запуститься на новой винде, поставленной совсем в другом месте (да и в этом же - вроде как хрень убивает файлы все из папки где она была).. Или - Дос форрева?)

Добавлено спустя 2 минуты 47 секунд:

Andrey_ru Шарик, ты Балбес).. Для справки - а попробуй ка у себя на системе кильнуть ntdetect.com, ntldr либо autoexec.bat)

[Miker]

Бляяя... я тебе вот об этом:

"Способ лечения - переустановка ОСи с обязательным форматированием системного раздела, установкой всех имеющихся заплаток и сервис паков, локальным апдейтом баз AVP и установкой последней версии огнестена."

Таки, юный вы хацкер, как активируется то же вирус, если винт не форматировать, а просто систему переснести, естественно по-чёрному (без сохранения настроек)?)) Быть может, как терминатор? У него самосознание есть?)..

[Miker]

erase me вооот) Что и требовалось доказать).. Таки - а зачем форматирование? Давно не спасали большие массивы документов и фотографий?)

В общем - и вам рекомендую - грохните у себя ntldr!) Это легко, и потом - он же восстановится)

[Miker]

erase me никогды не замечали быстро пролетающую строчку на современных то мощностях - удаления старых файлов?).. Стирает, и ещё как)..

[bublik_enemy]

Хакеры крякеры виросописатели все это х-ня:)вы наверное и вирусы пишете что евристический анализатор их поймать может:)есть мега рульная прога с помощью нее можно все!!!SoftIce называется так что в зубы и вперед:)сложно?определенно но все зависит от цены вопроса:)

Добавлено спустя 8 минут 58 секунд:

да вот ишо что делать прогу работы в ядре мега не гуд есть WMI все аккуратно быстро а главное скриптами:)даже думать много не надо чтоб докопаться до инфы о потоке сетевого драйвера:)