Как начать практически использовать uVS - Страница 13

Аркалык · 12.11.2012, 21:23

Цитата:

Сообщение от safety

здесь имею ввиду, что reg22 не сработает на восстановление, поскольку по условию копия рееестра из Repair не сохранилась (а в Vista/Win7 ее там нет)... надо вручную прописать в команде скрипта восстановление ассоциации

Значить, надо вручную создать текстовый файл для восстановление ассоциации exe файлов и сохранить ее в .reg формате, и внесите изменение кликая на этот рег файл? Или я неправильно создаю скрипт в UVS и надо по другому создать скрипт?

safety · 12.11.2012, 22:27

да, надо посмотреть описание neshta, где в реестре (в аасоциациях) прописан его запуск, и исправить на правильное значение с помощью EXEC cmd /c" reg......."

Аркалык · 12.11.2012, 22:47

Цитата:

Сообщение от safety

EXEC cmd /c" reg......."

Этот код создается автоматический (при помощи мышки) или надо вручную вписать в скрипт UVS? И еще походу у меня уже убитый вирус:

Цитата:

После активации вирус копирует свое тело в корневой каталог Windows под именем svchost.com:

%WinDir%\svchost.com

Данный файл имеет размер 41472 байта.

md5: BC93F4F527B58419EF42F19DB49F64A8
sha1: 2650A73B61577CFC0C0D80A7F38103D65388D808

А у меня:

Цитата:

Имя файла SVCHOST.COM
Размер 0 байт
SHA1 DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
MD5 D41D8CD98F00B204E9800998ECF8427E
Ссылки на объект
Ссылка HKLM\Software\Classes\exefile\shell\open\command\
NULL C:\WINDOWS\svchost.com "%1" %*

safety · 12.11.2012, 22:52

возможно, он очищен антивирусом до 0байт, но все равно нарушает ассоциацию exe
-----------
отсюда надо плясать

Цитата:

Вирус изменяет значения следующего параметра ключа системного реестра:

[HKCR\exefile\shell\open\command]
"(default)" = "%WinDir%\svchost.com "%1" %*"

Таким образом, при запуске всех EXE-файлов в системе будет запускаться тело вируса %WinDir%\svchost.com с параметром равным имени программы, которую запускает пользователь.

http://www.securelist.com/ru/descrip...Win32.Neshta.a

Аркалык · 13.11.2012, 13:40

safety,

Цитата:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

Сохраняет в виде .reg и пользуется.

safety · 13.11.2012, 13:48

а в скрипте uVS как это реализовать?

safety · 17.11.2012, 12:53

ПРИМЕР 5
----------------
образ здесь
http://rghost.ru/41621392

какие могут быть симптомы у пострадавшей системы, и как это лечится скриптом в uVS

Аркалык · 17.11.2012, 13:30

safety, ПРИМЕР 5
Симптомы: Не работает меню Пуск

Код:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 8D1FEAE1A62ADFEEFFF781113F61F21D 12800
zoo %SystemDrive%\PROGRAMDATA\CREATIVE\CREXVX.OCX
delall %SystemDrive%\PROGRAMDATA\CREATIVE\CREXVX.OCX
deltmp
delnfr
czoo
restart

Я удалил вирус, но еще нужно восстановить работоспособность ОС

safety · 17.11.2012, 15:23

вообще то скрипт должен восстановить функциональность Пуск

Аркалык · 17.11.2012, 15:34

safety, В тот раз был же тема, где использовалась уникальный код для удаление этого вируса. Точно не помню, либо был скрипт AVZ или UVS с исправлением реестра, после удаление вируса.

---------- Добавлено в 16:34 ---------- Предыдущее сообщение было написано в 16:27 ----------

Да вот нашел: http://pchelpforum.ru/showpost.php?p...7&postcount=16

17.11.2012, 13:30	#128 (permalink)
Аркалык Member Регистрация: 14.04.2012 Сообщений: 5,384 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 2982	safety, ПРИМЕР 5 Симптомы: Не работает меню Пуск Код: ;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl 8D1FEAE1A62ADFEEFFF781113F61F21D 12800 zoo %SystemDrive%\PROGRAMDATA\CREATIVE\CREXVX.OCX delall %SystemDrive%\PROGRAMDATA\CREATIVE\CREXVX.OCX deltmp delnfr czoo restart Я удалил вирус, но еще нужно восстановить работоспособность ОС

12.11.2012, 22:27	#122 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	да, надо посмотреть описание neshta, где в реестре (в аасоциациях) прописан его запуск, и исправить на правильное значение с помощью EXEC cmd /c" reg......."

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

13.11.2012, 13:48	#126 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	а в скрипте uVS как это реализовать?

17.11.2012, 12:53	#127 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	ПРИМЕР 5 ---------------- образ здесь http://rghost.ru/41621392 какие могут быть симптомы у пострадавшей системы, и как это лечится скриптом в uVS

17.11.2012, 15:23	#129 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	вообще то скрипт должен восстановить функциональность Пуск

17.11.2012, 15:34	#130 (permalink)
Аркалык Member Регистрация: 14.04.2012 Сообщений: 5,384 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 2982	safety, В тот раз был же тема, где использовалась уникальный код для удаление этого вируса. Точно не помню, либо был скрипт AVZ или UVS с исправлением реестра, после удаление вируса. ---------- Добавлено в 16:34 ---------- Предыдущее сообщение было написано в 16:27 ---------- Да вот нашел: http://pchelpforum.ru/showpost.php?p...7&postcount=16