18.11.2012, 18:54 | #142 (permalink) |
Member
Регистрация: 14.04.2012
Сообщений: 5,384
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 2982
|
Код:
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn 71D15A48176AB1F90E9F7AF3644DD27108C2B2B689770ACA5581C53522DAFA519EC78157B740FB9969800DC362FE8EFF300FAA727CC7B12CD25241EC8506A192 8 a variant of Win32/Kryptik.AHNW (ESET) zoo %Sys32%\DNSEOPLAY.EXE bl 5643BEFC1C0A316DCEADA3FD339D14A2 196096 chklst delvir regt 12 deltmp delnfr czoo restart |
18.11.2012, 18:59 | #143 (permalink) | |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
это тестовый пример.
это инфо тебе ни о чем не говорит? Цитата:
|
|
18.11.2012, 19:07 | #145 (permalink) | |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
как он может отсутствовать в образе, если посчитаны его хэши?
--------- сорри, не тот образ смотрел, В ТВОЕМ ПРИМЕРЕ ВОТ ТАКАЯ ИНФО Цитата:
|
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
18.11.2012, 19:25 | #146 (permalink) |
Member
Регистрация: 14.04.2012
Сообщений: 5,384
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 2982
|
safety, Да ни чье не будет, по умолчанию файл userinit.exe (для входа в систему) в реестре находится тут:
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="userinit.exe," А вирус обычный Winllocker-Баннер. |
18.11.2012, 19:28 | #147 (permalink) | |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
тогда подсказка тебе.
в логе выполнения твоего скрипта выходит сообщение Цитата:
|
|
18.11.2012, 19:50 | #148 (permalink) | |||
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
Цитата:
1. это не копия userinit.exe, это отладчик приложения. Цитата:
Ктому же файл, оказывается с самозащитой Цитата:
--------- и это не винлокер, поскольку образ получен не из под live.CD, а из активной системы. |
|||
18.11.2012, 19:57 | #150 (permalink) | |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
нет, в том и дело, что при перезагрузке файл будет удален (как указано в uVS).... но в этом и проблема. после этого рабочий стол не загружается.
----------- здесь указано Цитата:
так это надо понимать. |
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
|