Технический форум
Страница 13 из 32 123456789101112 13 1415161718192021222324252627 Last »
Показывать 40 сообщений этой темы на одной странице

Технический форум (http://www.tehnari.ru/)
-   Безопасность (http://www.tehnari.ru/f35/)
-   -   Как начать практически использовать uVS (http://www.tehnari.ru/f35/t193774/)

Аркалык 12.11.2012 21:23
Цитата:
Сообщение от safety (Сообщение 967834)
здесь имею ввиду, что reg22 не сработает на восстановление, поскольку по условию копия рееестра из Repair не сохранилась (а в Vista/Win7 ее там нет)... надо вручную прописать в команде скрипта восстановление ассоциации
Значить, надо вручную создать текстовый файл для восстановление ассоциации exe файлов и сохранить ее в .reg формате, и внесите изменение кликая на этот рег файл? Или я неправильно создаю скрипт в UVS и надо по другому создать скрипт?

safety 12.11.2012 22:27
да, надо посмотреть описание neshta, где в реестре (в аасоциациях) прописан его запуск, и исправить на правильное значение с помощью EXEC cmd /c" reg......."

Аркалык 12.11.2012 22:47
Цитата:
Сообщение от safety (Сообщение 967942)
EXEC cmd /c" reg......."
Этот код создается автоматический (при помощи мышки) или надо вручную вписать в скрипт UVS? И еще походу у меня уже убитый вирус:
Цитата:
После активации вирус копирует свое тело в корневой каталог Windows под именем svchost.com:

%WinDir%\svchost.com

Данный файл имеет размер 41472 байта.

md5: BC93F4F527B58419EF42F19DB49F64A8
sha1: 2650A73B61577CFC0C0D80A7F38103D65388D808
А у меня:
Цитата:
Имя файла SVCHOST.COM
Размер 0 байт
SHA1 DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
MD5 D41D8CD98F00B204E9800998ECF8427E
Ссылки на объект
Ссылка HKLM\Software\Classes\exefile\shell\open\command\
NULL C:\WINDOWS\svchost.com "%1" %*

safety 12.11.2012 22:52
возможно, он очищен антивирусом до 0байт, но все равно нарушает ассоциацию exe
-----------
отсюда надо плясать
Цитата:
Вирус изменяет значения следующего параметра ключа системного реестра:

[HKCR\exefile\shell\open\command]
"(default)" = "%WinDir%\svchost.com "%1" %*"

Таким образом, при запуске всех EXE-файлов в системе будет запускаться тело вируса %WinDir%\svchost.com с параметром равным имени программы, которую запускает пользователь.
http://www.securelist.com/ru/descrip...Win32.Neshta.a

Аркалык 13.11.2012 13:40
safety,
Цитата:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
Сохраняет в виде .reg и пользуется.

safety 13.11.2012 13:48
а в скрипте uVS как это реализовать?

safety 17.11.2012 12:53
ПРИМЕР 5
----------------
образ здесь
http://rghost.ru/41621392

какие могут быть симптомы у пострадавшей системы, и как это лечится скриптом в uVS

Аркалык 17.11.2012 13:30
safety, ПРИМЕР 5
Симптомы: Не работает меню Пуск
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 8D1FEAE1A62ADFEEFFF781113F61F21D 12800
zoo %SystemDrive%\PROGRAMDATA\CREATIVE\CREXVX.OCX
delall %SystemDrive%\PROGRAMDATA\CREATIVE\CREXVX.OCX
deltmp
delnfr
czoo
restart
Я удалил вирус, но еще нужно восстановить работоспособность ОС

safety 17.11.2012 15:23
вообще то скрипт должен восстановить функциональность Пуск

Аркалык 17.11.2012 15:34
safety, В тот раз был же тема, где использовалась уникальный код для удаление этого вируса. Точно не помню, либо был скрипт AVZ или UVS с исправлением реестра, после удаление вируса.

---------- Добавлено в 16:34 ---------- Предыдущее сообщение было написано в 16:27 ----------

Да вот нашел: http://pchelpforum.ru/showpost.php?p...7&postcount=16 :)


Часовой пояс GMT +4, время: 13:52.
Страница 13 из 32 123456789101112 13 1415161718192021222324252627 Last »
Показывать 40 сообщений этой темы на одной странице

Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.