|
Что скажете , специлисты ? ))
|
|
|
|
mpa |
Пятница, 28 Октября 2005, 11:17
|
Участник
Профиль
Группа: Участник
Сообщений: 1786
Регистрация: 11.06.2002
Пользователь №: 2401
Конфигурация
Корпус: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: Нет дисковода CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Всем привет. Прихожу как-то к людям - инет не работает. Комп, две сетевые, винда 2000 англ с МУИ. Стандартная настройка короче. Стоит на всем этом Kerio Winroute. Понятное первым делом лезу в таблицу маршрутизации. Пуск\Выполнить\cmd route print и вижу на экране route DELETE * route DELETE * route DELETE * route DELETE * route DELETE * route DELETE * route DELETE * и т.д....пока не оборвёшь .... Понятно - похоже на вирус....Советую провериться все на вирус, делаю времянку через Керио чтобы работало и ухожу. Пришёл - проверили Маккофе-антивирусом. Нашли трояны - удалили....Отлично.. Ставлю СП4 (там 3-й был до меня) , перегруз - нет инета....команда route продолжает выполнять с ключом Delete *.
Ставлю Каспера, проверка - чисто, XotSpy - чисто, AdAware - чисто, CWSChreder - чисто......ну просто идеально чистый комп.... Так думаю ....что то тут не то ... Иду в C:\Winnt\system32 и удаляю route.exe .....восстанавливается из dllcache. Запускаю - все ок....отлично. ПРописал ручками маршруты ...все работает. Перегрузился - нет ничего....инета нет....команда роут из пуск\выпонить выполняется на удаление. Удаляю, восстанавливается ....запускаю - все ок .... Короче путем экспериментов выяснил, что route корректно выполняется ТОЛЬКО ЕСЛИ ЗАПУСКАТЬ из папки system32, в ином случае будет route delete *. Проверяю реестр ..вроде все ок ....постоянные маршруты, кстати, из реестра после перегруза не исчезают ..... не исчезают они и таблице маршрутизации....но не работают. ПОмогает только route delete * route -p add .... кстати -р бесполезный ключик в данном случае.
Поиск на диске по route - всего два файла....в кэше и на оригинальном месте. То есть варианты типа route.cmd, route.com, route.bat отбрасываем.
Что скажете ????? Где еще копать ?
|
|
|
|
|
Админ |
Пятница, 28 Октября 2005, 11:49
|
Администратор
Профиль
Группа: WinCity Team
Сообщений: 670
Регистрация: 01.10.2000
Пользователь №: 1
Конфигурация
Корпус: Sony VAIO VGN-FW21MR Процессор: Centrino/Core Duo Материнская плата: Intel PM45 Оперативная память: 4096 Мб DDR2 800 МГц Видеокарта: ATI Mobility Radeon HD3470 256 Мб GDDR3 Жесткий диск (винчестер): 320 Гб Serial ATA 5400 об/мин TOSHIBA MK3252GSX Дисковод: Нет дисковода CD/DVD: Blu-Ray, MATSHITA BD-MLT UJ230AS Модем: встроенный Сетевой адаптер: встроенный, Marvell Yukon 88E8055 PCI-E Gigabit Ethernet Controller Звуковая плата: встроенная, Realtek ALC262 Монитор: 17'' Samsung SyncMaster 757NF Операционная система: Vista Home Premium x64 SP2 Прочее: WiFi встроенный Intel(R) WiFi Link 5100 ABG
|
Для начала попробуй посмотреть с помощью FileMon что запускается при cmd -> route print
--------------------
"Спорит либо дурак, либо подлец. Первый - не знает, а спорит, второй - знает, но спорит" Геральт из Ривии, ведьмак (© А. Сапковский, Сага о Ведьмаке)
|
|
|
|
|
Levon |
Пятница, 28 Октября 2005, 12:14
|
Участник
Профиль
Группа: Участник
Сообщений: 780
Регистрация: 16.09.2003
Из: Ереван, Армения
Пользователь №: 5872
Конфигурация
Корпус: HP Материнская плата: -- Оперативная память: 512 Мб Видеокарта: Intel(R) 82865G Graphics Controller Жесткий диск (винчестер): WDC WD400BB-60DGA0 37.27 GB (40 015 503 360 bytes) Дисковод: 3.5" CD/DVD: CD Модем: -- Сетевой адаптер: 3Com 3C905TX-based Ethernet Adapter (Generic), Broadcom NetXtreme Gigabit Ethernet for hp Звуковая плата: SoundMAX Integrated Digital Audio Монитор: LCD HP 1730, 19" Операционная система: Windows XP Pro SP1, Winsows 2000 AS SP4, FreeBSD 5.2.1 Прочее: --
|
а может есть всетаки bat или cmd .. но в состоянии Hiden
Сообщение отредактировал Levon - Пятница, 28 Октября 2005, 12:16
--------------------
- Никогда не стоит недооценивать предсказуемость глупости. "Большой Куш/Sntach"
|
|
|
|
|
mpa |
Воскресенье, 30 Октября 2005, 22:37
|
Участник
Профиль
Группа: Участник
Сообщений: 1786
Регистрация: 11.06.2002
Пользователь №: 2401
Конфигурация
Корпус: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: Нет дисковода CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Цитата а может есть всетаки bat или cmd .. но в состоянии Hiden нет, ну это исключено )))...я проверил. Мониторинг попытаюсь применить...посмотрим... Я так думаю...что всё ж таки реестр покорявило - был же троян. К сожалению его удалили до моего прихода - не знаю название. Ну а вообще....если вот взять эту ситуацию...то реестр или все таки дальше копать/искать файл левый?
|
|
|
|
|
Админ |
Понедельник, 31 Октября 2005, 8:45
|
Администратор
Профиль
Группа: WinCity Team
Сообщений: 670
Регистрация: 01.10.2000
Пользователь №: 1
Конфигурация
Корпус: Sony VAIO VGN-FW21MR Процессор: Centrino/Core Duo Материнская плата: Intel PM45 Оперативная память: 4096 Мб DDR2 800 МГц Видеокарта: ATI Mobility Radeon HD3470 256 Мб GDDR3 Жесткий диск (винчестер): 320 Гб Serial ATA 5400 об/мин TOSHIBA MK3252GSX Дисковод: Нет дисковода CD/DVD: Blu-Ray, MATSHITA BD-MLT UJ230AS Модем: встроенный Сетевой адаптер: встроенный, Marvell Yukon 88E8055 PCI-E Gigabit Ethernet Controller Звуковая плата: встроенная, Realtek ALC262 Монитор: 17'' Samsung SyncMaster 757NF Операционная система: Vista Home Premium x64 SP2 Прочее: WiFi встроенный Intel(R) WiFi Link 5100 ABG
|
Цитата(mpa @ Вчера, 23:37) К сожалению его удалили до моего прихода - не знаю название. А если в логах антивируса, которым убили троян посмотреть? Наверняка название будет.
--------------------
"Спорит либо дурак, либо подлец. Первый - не знает, а спорит, второй - знает, но спорит" Геральт из Ривии, ведьмак (© А. Сапковский, Сага о Ведьмаке)
|
|
|
|
|
Levon |
Понедельник, 31 Октября 2005, 9:18
|
Участник
Профиль
Группа: Участник
Сообщений: 780
Регистрация: 16.09.2003
Из: Ереван, Армения
Пользователь №: 5872
Конфигурация
Корпус: HP Материнская плата: -- Оперативная память: 512 Мб Видеокарта: Intel(R) 82865G Graphics Controller Жесткий диск (винчестер): WDC WD400BB-60DGA0 37.27 GB (40 015 503 360 bytes) Дисковод: 3.5" CD/DVD: CD Модем: -- Сетевой адаптер: 3Com 3C905TX-based Ethernet Adapter (Generic), Broadcom NetXtreme Gigabit Ethernet for hp Звуковая плата: SoundMAX Integrated Digital Audio Монитор: LCD HP 1730, 19" Операционная система: Windows XP Pro SP1, Winsows 2000 AS SP4, FreeBSD 5.2.1 Прочее: --
|
Хоть убей ... но все это смахивает на route.bat, com, cmd ..... просто где то глубоко спрятанное .....
--------------------
- Никогда не стоит недооценивать предсказуемость глупости. "Большой Куш/Sntach"
|
|
|
|
|
Levon |
Понедельник, 31 Октября 2005, 9:26
|
Участник
Профиль
Группа: Участник
Сообщений: 780
Регистрация: 16.09.2003
Из: Ереван, Армения
Пользователь №: 5872
Конфигурация
Корпус: HP Материнская плата: -- Оперативная память: 512 Мб Видеокарта: Intel(R) 82865G Graphics Controller Жесткий диск (винчестер): WDC WD400BB-60DGA0 37.27 GB (40 015 503 360 bytes) Дисковод: 3.5" CD/DVD: CD Модем: -- Сетевой адаптер: 3Com 3C905TX-based Ethernet Adapter (Generic), Broadcom NetXtreme Gigabit Ethernet for hp Звуковая плата: SoundMAX Integrated Digital Audio Монитор: LCD HP 1730, 19" Операционная система: Windows XP Pro SP1, Winsows 2000 AS SP4, FreeBSD 5.2.1 Прочее: --
|
Попробуй вызвать коммандой явно указывая расширение - "route.exe"
--------------------
- Никогда не стоит недооценивать предсказуемость глупости. "Большой Куш/Sntach"
|
|
|
|
|
|
1 чел. читают эту тему (1 Гостей и 0 Скрытых Пользователей)
|
0 Пользователей:
|
|
© Copyright by WinCity.Ru 2001 - 2008 | Обратная связьУслуги веб-хостинга предоставлены компанией MTW.RU
|
|