Технический форум - Как начать практически использовать uVS

Технический форум (http://www.tehnari.ru/)

- Безопасность (http://www.tehnari.ru/f35/)

+
Если есть сомнение в критерии - его надёжности
рекомендую задавать значения для сложного критерия через Или.
т.е. нет одного значения сработает другое.

---------- Добавлено в 23:10 ---------- Предыдущее сообщение было написано в 23:08 ----------

Цитата:

Сообщение от safety (Сообщение 967340)

RP55, давайте здесь не устраивать дискуссии. надо различать примеры и рабочие критерии.

Хорошо.
Только сразу нужно учить так, чтобы потом не переучивать.

напиши рекомендации по созданию критериев в виде небольшой статьи - это будет полезнее, чем заниматься здесь разговорами.
------
+ добавлю, что цель здесь (в статье) не ставится научить человека понимать мат_логику, это далеко выходит за рамки статьи, цель - показать как вообще создаются критерии.

safety, Да это же Virus.Win32.Neshta.a

Цитата:

После активации вирус копирует свое тело в корневой каталог Windows под именем svchost.com:

%WinDir%\svchost.com

Цитата:

Имя файла SVCHOST.COM
Тек. статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 0 байт
Создан 15.09.2012 в 21:39:27
Изменен 05.11.2012 в 14:14:02
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Автозапуск Неизвестный файл использует ключ реестра часто используемый вирусами

Доп. информация на момент обновления списка
SHA1 DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
MD5 D41D8CD98F00B204E9800998ECF8427E

Ссылки на объект
Ссылка HKLM\Software\Classes\exefile\shell\open\command\
NULL C:\WINDOWS\svchost.com "%1" %*

Рекомендацию к пользователю:
Компьютер заражен файловым вирусом Neshta, пролечите систему с помощью Live.CD
DrWeb
http://www.freedrweb.com/livecd/
или ESET rescue
http://forum.esetnod32.ru/forum9/topic1966/
:D

хорошо, допустим юзер вылечит систему от neshta (это правильный диагноз), но теперь exe файлы не запускаются. это надо (и можно) пролечить скриптом в uVS

Цитата:

Сообщение от safety (Сообщение 967348)

но теперь exe файлы не запускаются. это надо (и можно) пролечить скриптом в uVS

По предыдущему логу, очистил от тулбаров:

Код:

;uVS v3.76 script [http://dsrt.dyndns.org]

;Target OS: NTv5.1



exec C:\PROGRAM FILES\TICNO\TABS\UNINSTALL.EXE

exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRU~1.EXE UNINSTALL

exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL

regt 22

deltmp

delnfr

restart

копия реестра не сохранилась, так что не откуда в реестре взять правильную ассоциацию на запуск exe.

Цитата:

Сообщение от safety (Сообщение 967358)

копия реестра не сохранилась, так что не откуда в реестре взять правильную ассоциацию на запуск exe.

safety, Вы хотите сказать, что невозможно запустить UVS из-за поврежденного ключа exe файлов?

да, в этом случае надо переименовывать start.exe в start.pif или ***.cmd и скриптом исправить ассоциацию на exe

Цитата:

Сообщение от safety (Сообщение 967788)

да, в этом случае надо переименовывать start.exe в start.pif или ***.cmd и скриптом исправить ассоциацию на exe

Спасибо, но я знал про это :)

Цитата:

копия реестра не сохранилась, так что не откуда в реестре взять правильную ассоциацию на запуск exe.

здесь имею ввиду, что reg22 не сработает на восстановление, поскольку по условию копия рееестра из Repair не сохранилась (а в Vista/Win7 ее там нет)... надо вручную прописать в команде скрипта восстановление ассоциации