К сведующим в интернетах
Jan. 29th, 2010 05:43 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
sun_ukoonСегодня я прожил полный деяний день. Среди деяний смена деятельности, среды и четверга обитания (об этом не сейчас, ибо не горит), строительство компьютеризации для отдельно взятого отца и по мелочам.
Самое основное - за компьютеризацию. Итак, господа сведующие. Суть истории такова
Мой папа словил winlock. Популярные и не очень лекарства почему-то не действовали на Windows 2000. У меня все равно образовался лишний ноутбук, я его отцу и гордо отдал с целью эксплуатации. Предыдущий шедевр копьютеростроения отставлен в сторону (кстати, если кому надо - самовывоз. Монитор (ЭЛТ) 17" в подарок), ноутбук занял почетное место, обложившись колонками, мышью и энергоснабжением предшественника.
Мой (и папин) провайдер АКАДА имеет добрую традицию привязывать компы по MAC-адресу. Не проблема - звонок в саппорт, диктовка физического адреса и... через пять минутов всем щастье.
Не в этот раз.
Настройки дали правльные. Одних DNS насыпали ажно 4 штуки. И шо это ему дало? Да ничего это ни ему, ни мне, ни чадам и домочадцам, включая агнатов, когнатов и конкубин, не дало. В общем, интернет есть, но, похоже, тяжелое и продложительное блуждание ноутбука по разным сетям и провайдерам, а также насилие со стороны системных администраторов привело к тому, что их дистанционная медиция оказалась бессильна.
Короче: по IP-адреам все работает, но стоит написать доменное имя - "невозможно отобразить страницу". Ping работает по тому же принципу.
Службу DNS перезапускали, ейный кэш чистили - без такого же. Брндмауэр отключали, антивирус - и тот грохнули.
Че делать-то? Спасайте!!!
Самое основное - за компьютеризацию. Итак, господа сведующие. Суть истории такова
Мой папа словил winlock. Популярные и не очень лекарства почему-то не действовали на Windows 2000. У меня все равно образовался лишний ноутбук, я его отцу и гордо отдал с целью эксплуатации. Предыдущий шедевр копьютеростроения отставлен в сторону (кстати, если кому надо - самовывоз. Монитор (ЭЛТ) 17" в подарок), ноутбук занял почетное место, обложившись колонками, мышью и энергоснабжением предшественника.
Мой (и папин) провайдер АКАДА имеет добрую традицию привязывать компы по MAC-адресу. Не проблема - звонок в саппорт, диктовка физического адреса и... через пять минутов всем щастье.
Не в этот раз.
Настройки дали правльные. Одних DNS насыпали ажно 4 штуки. И шо это ему дало? Да ничего это ни ему, ни мне, ни чадам и домочадцам, включая агнатов, когнатов и конкубин, не дало. В общем, интернет есть, но, похоже, тяжелое и продложительное блуждание ноутбука по разным сетям и провайдерам, а также насилие со стороны системных администраторов привело к тому, что их дистанционная медиция оказалась бессильна.
Короче: по IP-адреам все работает, но стоит написать доменное имя - "невозможно отобразить страницу". Ping работает по тому же принципу.
Службу DNS перезапускали, ейный кэш чистили - без такого же. Брндмауэр отключали, антивирус - и тот грохнули.
Че делать-то? Спасайте!!!
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2010-01-29 02:50 pm (UTC)должно выглядеть примерно так
dot@user-desktop:~$ nslookup
> server 77.72.22.2
Default server: 77.72.22.2
Address: 77.72.22.2#53
> set type=A
> yahoo.com
Server: 77.72.22.2
Address: 77.72.22.2#53
Non-authoritative answer:
Name: yahoo.com
Address: 209.131.36.159
Name: yahoo.com
Address: 209.191.93.53
Name: yahoo.com
Address: 69.147.114.224
>
no subject
Date: 2010-01-29 06:11 pm (UTC)no subject
Date: 2010-01-29 06:25 pm (UTC)Default Server: ns1.Mosreg.golden.ru
Address: 82.142.164.19
> ya.ru
Server: ns1.Mosreg.golden.ru
Address: 82.142.164.19
Неофициальный ответ:
Name: ya.ru
Addresses: 77.88.21.8
93.158.134.8
213.180.204.8
> evilbot.ru
Server: ns1.Mosreg.golden.ru
Address: 82.142.164.19
Неофициальный ответ:
Name: evilbot.ru
Address: 89.188.101.68
>
no subject
Date: 2010-01-29 07:01 pm (UTC)я бы не писал тебе, если бы не знал.
ну и ещё файл hosts конечно посмотри, чтоб там не было говна.
как исключение:
у меня заглючила семерка с днс, перегружал и систему и рутер. дважды.
не знаю с чем связано, может потому что бета стоит.
no subject
Date: 2010-01-29 03:13 pm (UTC)C:\WINDOWS\system32\drivers\etc
файл hosts
должно быть вот так
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost
и все
ну или работа спай бота
# Start of entries inserted by Spybot - Search & Destroy
# This list is Copyright 2000-2008 Safer Networking Limited
127.0.0.1 did.i-used.cc
127.0.0.1 www.did.i-used.cc
127.0.0.1 coolwwwsearch.com
127.0.0.1 www.coolwwwsearch.com
127.0.0.1 coolwebsearch.com
127.0.0.1 www.coolwebsearch.com
127.0.0.1 hi.studioaperto.net
127.0.0.1 www.hi.studioaperto.net
127.0.0.1 wazzupnet.com
и т.д.
если непонятные айпишники с привязкой к реальным адресам -- реж их
какая система вообще стоит-то?
no subject
Date: 2010-01-29 06:12 pm (UTC)no subject
Date: 2010-01-30 12:22 pm (UTC)перезагрузись, система карточку найдет, вбей те, что тебе провайдер дал и проверь
no subject
Date: 2010-01-30 09:59 pm (UTC)no subject
Date: 2010-01-31 07:57 am (UTC)+7-903-761-00-35
no subject
Date: 2010-02-01 10:41 am (UTC)вот еще тебе инструкция
писал неделю назад тоже по винлоку
но там человек просто снес винду в итоге, не стал морочиться
В принципе, она универсальная, для лечения разновидностей 4460 :)
А может, и от других подойдет. :)
Метод найден из спортивного интереса.
Понятно, что обычно проще данные перелить и винду переставить, но это не всегда удобно.
К тому же, хороший дистрибутив надо еще поискать.
Понадобится какой-нибудь ERDшничек. Без него никуда.
Можно набрать в яндексе: erd commander. Скачать.
Пройти по ссылке http://depositfiles.com/files/fjbh1z4np и скачать архив. Там два файла «1.com» и «nsx.exe»
После этого, записать ERD на CD, добавив в отдельную папочку указанные файлы, предварительно их распаковав. Загрузить больную машину в безопасном режиме (с жесткого диска, как обычно). Вставить ERD диск в CD привод.
Запустить файл «1.com», выбрать «выполнить сканирование системы с сохранением лога», сохранить лог (программа откроет файл формата *.txt) и попробовать вычислить процесс, своим запуском перекрывающий критический системный. Он будет, в зависимости от операционки, выглядеть примерно (именно ПРИМЕРНО, может и совсем иначе) так:
[HKEY_LOCAL_MACHINE\soft\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\imsins.log:BNt0jnF"
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
Или HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Внимательно смотеть ключи Shell, userinit
Если с вычислением не получится, выкладывайте текстовик лога прямо сюда. Никаких критических данных в нем не содержится, можете не опасаться.
Если вычислить злодея удалось, перезагружаетесь, грузите систему с ERD.
(Для того, чтобы убедиться, что вы не ошиблись, подгружаете вычисленный файл в nsx.exe. Обычный с виду текстовичок, массой несколько байт/килобайт, окажется серьезным монстром, в потоках которого лежит плюс минус мегабайт вредоносного кода. В общем, это будет видно.) При старте системы выбираете свою винду (скорее всего она там будет одна, без вариантов). Далее «пуск, выполнить, regedit».
Соответственно, поиск в реестре по имени обнаруженного злодейского файла и удаление ссылки на него (всю строку не удалять! только имя файла-негодника) из строки запуска процесса.
Далее перезагрузка с жесткого диска и запуск AVZ или другого антивируса.
Суть выполняемых манипуляций: отрубить вирусу возможность контролировать компьютер на вводе данных. То есть злолдей все еще есть, но уже ничего не может сделать. Остается дорезать с помощью AVZ, Cureit или чего-то подобного.