Аваст «убивает» интернет

Доброго времени суток, читатели блога!

А так «доброго» сисадминам и работникам техподдержки провайдеров (:

Прервем немного Сагу о Linux и посмотрим на его «конкурента» Windows и антивирус Аваст.

Как стало известно — после обновления антивируса Аваст в 14.00 05.11.12 у пользователей наглухо перестала работать локальная сеть и доступ в сеть интернет.

После обновления Аваст находил Руткит и предлагал перезагрузиться.

На официальном сайте представителя Аваст пока тихо как в танке.

Зато на форуме можно наблюдать бурное негодование пользователей этого антивируса, а так же работников интернет провайдеров.

Итак: что было перепробовано пользователями для решения проблемы:

  • 1. winsock reset
  • 2. int ip reset
  • 3. Удаление антивируса
  • 4. Переустановка драйверов
  • 5. откат системы

Вышеописанные способы хоть и должны были привести к нормальному результату, но не привели.

Вот что пишет техподдержка самого Аваст:

Открываем редактор реестра REGEDIT (Кнопка “Пуск” — пункт “Выполнить” — пишем regedit и нажимаем ) и безжалостно удаляем два ключа реестра:

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2

Выходим из REGEDIT и ОБЯЗАТЕЛЬНО (!) перезагружаемся.

После перезагрузки находим папку c:\windows\inf (а если точнее, то %winroot%\inf — ведь Windows может быть установлена в другом месте) и находим в ней файл nettcpip.inf. Обязательно сделайте его резервную копию, а потом отредактируйте с помощь Блоктнота:

Строки

[MS_TCPIP.PrimaryInstall]
; TCPIP has properties to display
Characteristics = 0xA0 ; NCF_HAS_UI | NCF_NOT_USER_REMOVABLE

замените на

[MS_TCPIP.PrimaryInstall]
; TCPIP has properties to display
Characteristics = 0×80 ; NCF_HAS_UI

Сохраните файл. Откройте настройки сетевого адаптера, щелкнув по нему правой клавишей и выбрав “Свойства”. Нажмите “Установить”, выберите из списка “Протокол” и нажмите “Добавить”. Далее нажмите кнопку “Установка с диска” и введите в строке пути c:\windows\inf (или %winroot%\inf). В появившемся списке выберите Протокол TCP/IP и завершите установку.

Перезагрузите компьютер.

После перезагрузки снова идите в свойства сетевого адаптера, и вы обнаружите, что кнопка “Удалить” для протокола TCP/IP теперь стала доступна. Удалите протокол TCP/IP и снова перезагрузите машину.

После перезагрузки установите протокол TCP/IP с нуля.

Как видно — решение не из простых. Но рабочее. Ситуация проявляется на машинах с установленной  Windows XP  и антивирусом Avast.

Дополнение.

На сайте Аваст таки признали вину и предложили еще 8 способов решения проблемы. Читаем.

Рекомендую 1 или 7 способ.

 

 

Чиним панель задач Windows XP

Вышла однажды крайняя неприятность — на панели задач перестали отображаться открытые и свернутые окна.
На все запросы в интернете чего только не советовали — от переустановить Windows (как самое простое) до самых невероятных.
Но так как переустановить Windows — это не решение, тем более, для такой тривиальной задачи, — интернет  — все таки очень большое подспорье.
Поискав наткнулся на банальный и довольно простой скриптик, который решает эту задачу.
Итак :
Шаг 1.

Скачиваем готовый файлик или для продвинутых:

— открываем блокнот.

-далее вставляем следующий код:
'xp_taskbar_desktop_fixall.vbs - Исправляет ошибку - когда не видно свернутых окон.
'© Kelly Theriot and Doug Knox - 8/22/2003
Set WSHShell = WScript.CreateObject("WScript.Shell")
Message = "Для продолжения работы" & vbCR
Message = Message & "скрипт перезапустит Windows Explorer ." & vbCR
Message = Message & "Продолжить?"
X = MsgBox(Message, vbYesNo, "Notice")
If X = 6 Then
On Error Resume Next
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StuckRects2\"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU\"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams\Desktop\"
WshShell.RegDelete "HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}\BarSize"
P1 = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"
WshShell.RegWrite p1 & "NoBandCustomize", 0, "REG_DWORD"
WshShell.RegWrite p1 & "NoMovingBands", 0, "REG_DWORD"
WshShell.RegWrite p1 & "NoCloseDragDropBands", 0, "REG_DWORD"
WshShell.RegWrite p1 & "NoSetTaskbar", 0, "REG_DWORD"
WshShell.RegWrite p1 & "NoToolbarsOnTaskbar", 0, "REG_DWORD"
WshShell.RegWrite p1 & "NoSaveSettings",0,"REG_DWORD"
WshShell.RegWrite p1 & "NoToolbarsOnTaskbar", 0, "REG_DWORD"
WshShell.RegWrite p1 & "NoSetTaskbar",0,"REG_DWORD"
WshShell.RegWrite p1 & "NoActiveDesktop",0,"REG_DWORD"
WshShell.RegWrite p1 & "ClassicShell",0,"REG_DWORD"
p1 = "HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"
WshShell.RegWrite p1 & "NoCloseDragDropBands", 0, "REG_DWORD"
WshShell.RegDelete p1 & "NoMovingBands"
p1 = "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell"
WshShell.RegWrite p1, "explorer.exe", "REG_SZ"
p1 = "HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}\"
WshShell.RegDelete p1 & "BarSize"
WshShell.RegWrite p1, "Media Band", "REG_SZ"
On Error Goto 0
For Each Process in GetObject("winmgmts:"). _
ExecQuery ("select * from Win32_Process where name='explorer.exe'")
Process.terminate(0)
Next
MsgBox "Готово." & vbcr & vbcr & "© Kelly Theriot and Doug Knox. Адаптация - Spider", 4096, "Done"
Else
MsgBox "Изменения не внесены." & vbcr & vbcr & "© Kelly Theriot and Doug Knox.Адаптация - Spider", 4096, "User Cancelled"
End If

-сохраняем его как taskbar.vbs

Шаг2.
-запускаем.

Шаг3.
-ГОТОВО.

После запуска отвечаем утвердительно. Скрипт перезапустит оболочку Windows Explorer — не пугайтесь — это нормально — таким образом не придется перезапускать полностью компьютер — изменения вступят сразу же.

Сайт по продаже красивых номеров мобильных телефонов.
золотые номера

Windows Update

В последнее время стали задавать вопросы :

  • почему все заплатки стоят , а Конфикер все равно лезет ?
  • почему обновился, а антивирус находит вирус ?
  • убиваю вирус , а через некоторое время все начинается сначала ?
  • 3 сервис пак закрывает «дыру» в безопасности, но антивирус находит вирус ?
  • удалил вирус , поставил патчи, а звук все равдно «падает» ?
  • периодически появляется ошибка Windows Critical или Generic host process error  — даже если ничего не делаю, при этом патчи СП3 установлены ?

Эти и многие вопросы задаются неоднократно. Но и объяснить их так же несложно. Вирус Net-Worm.Win32.Kido.ip/Win32.Worm.Downadup.Gen/Conficker (это основные названия червя) полиморфный — т.е. постоянно изменяет свой код. И со времен первых патчей и заплаток прошло довольно много времени.

Чтобы не задумываться , что нас ждет завтра и какие разновидности данного червя предстоит увидеть — я рекомендую обновиться при помощи службы Windows Update.

Многие проблемы действительно снимаются. И не только те, что связаны непосредственно с действиями вируса.

Я выбрал все обновления безопасности , начиная по дате с момента выхода 3 сервис пака.

Скачать с Depositfiles.com

Скачать с letitbit.net

В архиве 28 обновлений. Многие из них требуют перезагрузки — не советовал бы откладывать. Обновляться 28 раз — довольно муторно — поэтому все-таки советую обновиться с Windows Uppdate, но если это по каким то причинам (:)) Вам не подходит, то воспользуйтесь архивом.

Обновленный preSP4 для WindowsXP :

Скачатьс depositfiles.com

Твик реестра Windows

Настройка реестра — дело тонкое, «Петруха».

Информации по настройке реестра в интернет довольно много, но не все используется каждый день, а выбирать или перебирать приходится много. Поэтому я решил вынести более или менее важный и использующиеся ключи и твики в одну статью.

Для начала небольшой либез.

Используемые сокращения
HKLM = HKEY_LOCAL_MACHINE
HKCU = HKEY_CURRENT_USER
HKCR = HKEY_CLASSES_ROOT

Как зайти в редактор реестра:
Заходим ПУСК => Выполнить => пишем «regedit» (без кавычек)

Для начала работы запомните певое, оно же и единственное правило — перед пробой того или иного ключа — сохраните резервную копию. Это облегчит жизнь Вам и избавит от лишней переустановки системы из-за одной маааленькой ошибки !!!

Запрет на автозагрузку

Существуют способы наложения запрета на автозагрузку программ через записи в реестре, указанные выше. Используются параметры типа DWORD. Все параметры должны храниться в разделе

HKLMSoftware\Microsoft\Windows\CurrentVersion\Policies\Explorer

Для запрета запуска программ, прописанных в подразделе Run раздела LOCAL MACHINE используется параметр DisableLocalMachineRun со значением 1. В этом случае система игнорирует содержимое списка Run, находящегося в LOCAL MACHINE.

Аналогично действует запрет Прочитать больше

Windows XP и командная строка

В Windows XP появилось около 30 новых консольных команд. Тем не менее один аспект по-прежнему однозначно трактуется не в пользу Windows: якобы использование консоли в этой ОС не только непопулярно (что в большой мере правда), но и неудобно, неэффективно и пр. На самом деле этот тезис не совсем корректен, однако почва для него безусловно существует. Возьмите практически любую книгу (вовсе не обязательно «для чайников») о Windows — наверняка о командной строке там нет ни слова.

В первую очередь это объясняется архитектурными особенностями ОС, которую невозможно представить вне графического интерфейса пользователя (в отличие от клонов Unix). Естественно, броское оформление — не самоцель, хотя именно на него реагируют многочисленные пользователи, особенно начинающие. Графическая подача информации во многих случаях действительно удобнее (скажем, выбор из нескольких вариантов становится гораздо нагляднее и очевиднее) и не только в компьютерном мире. Впрочем, спор этот извечный, касается отнюдь не только ОС, и что-то в нем доказать не представляется возможным — у каждого свои вкусы и привычки, расставаться с ними непросто, да и не нужно.

Вторая причина, вызывающая особо острую критику со стороны апологетов Unix, состоит в относительной «скудости» консольных средств. Многообразием командных интерпретаторов Windows действительно не блещет. Однако нужно четко понимать разницу между ОС, созданной и сопровождаемой (ныне, присно и во веки веков) одной-единственной компанией, и ОС, над которой трудится целое сообщество программистов, — их мнения зачастую могут весьма различаться. По-видимому Microsoft вполне удовлетворена возможностями стандартного CMD, укладывающимися в ее видение «идеальной» системы, но ничто не мешает воспользоваться сторонними (и порой весьма неплохими) разработками вроде Kixtart или даже Cygwin, перенесенной в Windows прямо из Unix.

Так или иначе, но для многих стандартных задач действительно необходимы альтернативные средства их решения, в том числе и из командной строки. В конце концов, удаленное управление, в том числе и Telnet, операционным системам Microsoft отнюдь не чуждо. И нужно сказать, их арсенал (в самой Windows представленный уже упомянутым CMD и консольными утилитами) на самом деле не так уж скуден. Чего стоит одна только команда net, позволяющая выполнять все основные административные задачи — «вручную» или из командных файлов и сценариев (скриптов). С другой стороны, такую задачу, как переименование рабочей станции в домене можно выполнить только из командной строки с помощью netdom (ее нужно установить дополнительно вместе с пакетом Support Tools, расположенным в папке Support\Tools на инсталляционном CD-ROM). Аналогично для переименования самого домена также требуется специальная утилита.

Более того, от версии к версии командная поддержка в ОС Microsoft только расширяется, причем не в последнюю очередь за счет обратной связи с пользователями. Скажем, долгое время в Windows почему-то отсутствовала специальная утилита для перезагрузки компьютера, поэтому приходилось применять всевозможные трюки вроде

rundll32.exe
shell32.dll,SHExitWindowsEx n

для Windows 9х или ПО сторонних разработчиков. В Windows XP наконец-то появилась полноценная утилита shutdown (похожая распространялась и прежде в составе Resource Kit), с помощью которой можно выключить или перезагрузить как локальную, так и удаленную систему (при наличии соответствующих полномочий), оповестить при этом оператора и т. д.

Достаточно полная информация по утилитам командной строки Windows XP содержится в стандартной справочной системе, однако быстрее и удобнее воспользоваться отдельным документом посредством команды hh ntcmds.chm. В частности, специальный раздел описывает порядка 30 команд-утилит (кстати, некоторые реализованы в виде WSH-скриптов), впервые вошедших в состав ОС. Среди них: defrag — для автоматизации процессов дефрагментации, tasklist и taskkill — для управления задачами и процессами, schtasks — для планирования заданий и т. д.

Довольно любопытна Прочитать больше

Медленное отключение компьютера

Иногда пользователи замечают, что с некоторых пор на их компьютере выход из Windows происходит медленно или операционная система вообще перестает корректно отключаться. Вот несколько причин такого «странного» поведения.

Компьютер — не лампочка и, чтобы его правильно выключить, недостаточно просто щелкнуть тумблером. Отключение компьютера — сложная процедура. Иногда в Windows на это часто уходит слишком много времени; бывает и так, что Windows не закрывается вовсе.

Частой причиной такого поведения операционной системы является программная ошибка в драйвере. Поэтому прежде всего стоит посетить веб-сайты производителей аппаратных средств — начиная с тех устройств, которые вы устанавливали последними — и проверить, не появились ли для них новые драйверы.

Медленное отключение

Вначале рассмотрим относительно простой случай: Прочитать больше

Windows XP: 8 полезных настроек производительности

Windows XP: 8 полезных настроек, производительности и внешнего вида

Совет 1 — MsConfig
Совет 2 – Ускоряем запуск Internet Explorer
Совет 3 – Уменьшение задержки вывода меню
Совет 4 — GPEDIT.MSC и Autoplay
Совет 5 — Настройка производительности памяти
Совет 6 – Ускорение доступа к соседним компьютерам
Совет 7 — Изменение приоритета индивидуальных процессов
Совет 8 — Изменяем приоритет запросов на прерывание (IRQ)

Прежде чем мы приступим к настройке производительности и внешнего вида операционной системы, мы рекомендуем выполнить несколько полезных настроек. Во-первых, необходимо убедиться, что вы имеете статус администратора. Это позволит получить доступ ко всем скрытым возможностям ОС. Во-вторых, очень рекомендуем включить функцию ClearType, которая сглаживает экранные шрифты, что делает их более читабельными.

Для включения ClearType, необходимо войти в свойства дисплея ->Свойства: Экран ->Оформление ->Эффекты… Вы увидите примерно следующее окно.



Скрытые возможности…Итак, из двух описанных выше советов, Вы обязательно должны выполнить первый. Второй – по желанию.

Для начала давайте рассмотрим функции и возможности настройки, интегрированные в операционную систему. Некоторые из них использовались еще в Windows 95/98/ME и теперь были перенесены на XP. Все действия мы проводили с Windows XP Professional Edition, так что некоторые из описанных методов могут не работать на XP Home Edition. Так же важно уметь редактировать системный реестр.

Совет 1 — MsConfig

Большинство из Вас вероятнее всего знакомы с программой MsConfig, которая является основной конфигурационной утилитой, входящей в состав Windows. Для открытия этой программы необходимо нажать кнопку Пуск-> Выполнить…, затем наберите ’msconfig’ и нажмите enter. После запуска программы Вы увидите примерно следующее окно.

Здесь нас интересует раздел ’Автозагрузка’. В этом разделе отображаются все программы, которые запускаются во время старта Windows. Не одна из этих программ не является жизненно важной для Windows, так, что не беспокойтесь относительно их удаления. Как Вы можете видеть на скриншоте выше, мы заблокировали запуск Microsoft Office. Это позволит несколько ускорить процесс загрузки Windows и сэкономить ресурсы системы, отнимаемые ненужными фоновыми задачами.

Теперь немного углубимся в процесс запуска системы. Для этого нам необходимо запустить программу ’services.msc’ (Пуск -> Выполнить… и наберите ’services.msc’).
Прочитать больше

Сетевые черви Net-Worm.Win32.Kido/Conficker.AA(win32/Conficker.AE)

Симптомы заражения в сети

  1. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
  2. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
  3. Часто вылетают звуковые драйвера.
  4. Ошибка generic host process failed.
  5. Блокировка адресов автоматических обновлений , антивирусов и microsoft.com

Краткое описание семейства Net-Worm.Win32.Kido.

  1. Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED{SID<….>}RANDOM_NAME.vmx
  2. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:windowssystem32zorizr.dll
  3. Прописывает себя в сервисах — так же со случайным именем, состоящим из латинских букв, например knqdgsm.
  4. Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
  5. Обращается к следующим сайтам (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
    • http://www.getmyip.org
    • http://getmyip.co.uk
    • http://www.whatsmyipaddress.com
    • http://www.whatismyip.org
    • http://checkip.dyndns.org
    • http://schemas.xmlsoap.org/soap/envelope/
    • http://schemas.xmlsoap.org/soap/encoding/
    • http://schemas.xmlsoap.org/soap/envelope/
    • http://schemas.xmlsoap.org/soap/encoding/
    • http://trafficconverter.biz/4vir/antispyware/loadadv.exe
    • http://trafficconverter.biz
    • http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz

Способы удаления

Удаление сетевого червя производится с помощью специальных утилит:

Утилита от ESET EConfickerRemover.

kidokiller_v31.

kidokiller_v333 (обновленная)

kkiller_v344 (обновленная)

Ключи для запуска утилиты KK.exe из командной строки:

Параметр

Описание

-p <путь для сканирования>

Cканировать определённый каталог.

-f

Cканировать жёсткие диски.

-n

Cканировать сетевые диски.

-r

Cканировать flash-накопители.

-y

Не ждать нажатия любой клавиши.

s

«Тихий» режим (без чёрного окна консоли).

-l <имя файла>

Запись информации в лог-файл.

-v

Ведение расширенного лога (параметр -v работает только в случае, если в командной строке указан также параметр -l)

z

Восстановление служб

· Background Intelligent Transfer Service (BITS),

· Windows Automatic Update Service (wuauserv),

· Error Reporting Service (ERSvc/WerSvc)

Восстановление возможности показа скрытых и системных файлов.

a

Отключение автозапуска со всех носителей.

m

Режим мониторинга потоков, заданий, сервисов.

-j

Восстановление ветки реестра SafeBoot (при ее удалении компьютер
не может загрузиться в безопасном режиме)

-help

Получение дополнительной информации об утилите.

Например, для сканирования flash-накопителя с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита KK.exe) используйте следующую команду:

kk.exe -r -y -l report.txt -v

А вот еще 2 утилитки

Скачать с depositfiles.com

Скачать с letitbit.net

Обновленные версии Утилиты от BitDefender :

Скачать с depositfiles

Скачать с letitbit.net

И еще утилита для Сетевого лечения:

Скачать с depositfiles

Скачать с letitbit.net

Лечит сразу несколько компьютеров в сети (требуется аутентификация)

Так же обновилось средство удаления вредоносного кода от самой Microsoft:

Скачать с depositfiles

Скачать с letitbit.net

С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:

  • Установить патч, закрывающий уязвимость MS08-067. Линки на патчи ниже)
  • Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому  — пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.
  • Отключить автозапуск исполняемых файлов со съемных носителей.

Линки на патчи для разных ОС:

Windows XP:

Скачать с depositfiles.com

Скачать с letitbit.net

Windows XP x64 Edit:

windowsserver2003windowsxp-kb958644-x64-enu

Windows Vista:

windows60-kb958644-x86

Windows 2003 Server:

Скачать с depositfiles.com

Скачать с letitbit.net

После сканирования одной из утилит (или всемми для верности, но по идее хватит и любой из них) устанавиваем пачти из архива для Вашей ОС.

Удачи !!!

ЗЫ. От себя добавлю что на Windows Vista (SP1) и Windows 7(c WU)  эта гадость не пролезла.

ЗЫЫ. Утилиты обновлены от 14.04.09