Цитата:
Сообщение от safety
- анализ заражения
|
Newdriver (больше сказать ни че не могу)
Цитата:
Сообщение от safety
- скрипт
|
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn 79132211B982F18DF42BF3584833EDFAE946E07089FA1F7885C3C5BC50D621CB231753D43E5591CF2B80849F461649FA7DDF72F555DA30AF2D77A42FC7062273 8 newdriver 1
zoo %SystemRoot%\HOBIO.SYS
delref HTTP://BROWSERHELP2.RU
delref HTTP://WWW.MAIL.RU/CNT/8731
exec MSIEXEC.EXE /X{F75CF7C3-AB31-4E4E-A38D-051D634EE2A6}
exec D:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE UNINSTALL
exec "D:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
deltmp
delnfr
czoo
sreg
delref %SystemRoot%\HOBIO.SYS
areg
Цитата:
Сообщение от safety
- какие критерии можно использовать для детекта данного файла
|
Не знаю, как создать критерий. Это что-то новое в UVS?
Ну примерно:
Цитата:
Ссылка HKLM\System\CurrentControlSet\Services\newdriver\I magePath
ImagePath \??\D:\WINDOWS\hobio.sys
newdriver тип запуска: При инициализации ядра (1)
|