Как начать практически использовать uVS - Страница 17

safety · 19.11.2012, 07:24

Ark, виртуализуются не файлы системы, а реестр.... разберись с виртуализацией: зачем она нужна, в каких случаях применяется.
(вполне возможно, и это решение сработает, но некрасивое решение.)

Аркалык · 19.11.2012, 15:38

Цитата:

Сообщение от safety

Что мы удаляем этим скриптом ?
файл или ссылки ?

Удаляется и файл и ссылки в реестре. Файл защищен и при помощи виртуализаций реестра удалил вирус.

Цитата:

Сообщение от safety

разберись с виртуализацией: зачем она нужна, в каких случаях применяется.

Да, виртуализация реестра - создает копию реестра (виртуальный реестр) и удаляет ссылки вируса в виртуальном реестре и при помощи актуализаций реестра заменяется виртуальный реестр с настоящим реестром.

Цитата:

Сообщение от safety

зачем она нужна, в каких случаях применяется.

Что бы обмануть вируса, защищенный вирус все время следит за реестром и не дает удалят свои ключи с реестра. В таких случаях применяется "Виртуализация реестра"

Vvvyg · 19.11.2012, 16:21

Обновилась база проверенных файлов uVS.

RP55.RP55 · 19.11.2012, 21:08

Цитата:

Ark

пишет: Удаляется и файл и ссылки в реестре. Файл защищен и при помощи виртуализаций реестра удалил вирус.

sreg
delref %Sys32%\DNSEOPLAY.EXE
areg

Если Мы работаем с реестром - значит работаем с ссылками.
НЕ непосредственно с файлом.
Тело файла можно удалить после перезагрузки системы.
Тогда - когда он уже будет неактивен.
Путём создания нового скрипта.
Важна по этапность в работе.

safety · 19.11.2012, 21:19

Цитата:

Сообщение от Arkalik

Удаляется и файл и ссылки в реестре. Файл защищен и при помощи виртуализаций реестра удалил вирус.

в общем случае - почему мы применяем виртуализацию, потому что вредоносный файл защищен. т.е. не дает выгрузить себя из памяти, и защищает свои ключи.

самозащита файла может и более радикально отреагировать - скажем, отправить систему в BSOD,
(и на этом завершится выполнение скрипта)
потому файл здесь не трогаем, а удаляем только ссылку в виртуализованном реестре.

delref.

Аркалык · 19.11.2012, 21:36

safety, RP55.RP55, Спасибо!
Но после удалении ключа из реестра, можно удалить сам вирус с кодам delall, после следующем запуске системы?

safety · 19.11.2012, 21:40

при следующем запуске системы, когда вредоносный файл не активен (поскольку исключен из автозапуска), можно уже что угодно делать с ним.

Аркалык · 19.11.2012, 21:48

safety, Значить, скрипт должен быть таким:

Код:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 71D15A48176AB1F90E9F7AF3644DD27108C2B2B689770ACA5581C53522DAFA519EC78157B740FB9969800DC362FE8EFF300FAA727CC7B12CD25241EC8506A192 8 a variant of Win32/Kryptik.AHNW (ESET)
zoo %Sys32%\DNSEOPLAY.EXE
deltmp
delnfr
czoo
sreg
delref %Sys32%\DNSEOPLAY.EXE
areg

Задания провален:

safety · 19.11.2012, 21:50

да, такой,
жди новые задания.
-----------
смысл здесь такой: удаляя файлы скриптами, ты должен немного знать о поведении вредоносной программы, о ее самозащите (есть она или нет) и выбирать для скрипта соответствующий метод удаления или исключения из автозапуска.

safety · 19.11.2012, 21:57

ПРИМЕР 8.
карберп маячит у пользователя.
образ здесь
http://rghost.ru/41678197

19.11.2012, 21:48	#168 (permalink)
Аркалык Member Регистрация: 14.04.2012 Сообщений: 5,384 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 2982	safety, Значить, скрипт должен быть таким: Код: ;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn 71D15A48176AB1F90E9F7AF3644DD27108C2B2B689770ACA5581C53522DAFA519EC78157B740FB9969800DC362FE8EFF300FAA727CC7B12CD25241EC8506A192 8 a variant of Win32/Kryptik.AHNW (ESET) zoo %Sys32%\DNSEOPLAY.EXE deltmp delnfr czoo sreg delref %Sys32%\DNSEOPLAY.EXE areg Задания провален:

19.11.2012, 07:24	#161 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	Ark, виртуализуются не файлы системы, а реестр.... разберись с виртуализацией: зачем она нужна, в каких случаях применяется. (вполне возможно, и это решение сработает, но некрасивое решение.)

19.11.2012, 16:21	#163 (permalink)
Vvvyg Member Регистрация: 17.05.2011 Адрес: Тула Сообщений: 9,829 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 9863	Обновилась база проверенных файлов uVS.

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

19.11.2012, 21:36	#166 (permalink)
Аркалык Member Регистрация: 14.04.2012 Сообщений: 5,384 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 2982	safety, RP55.RP55, Спасибо! Но после удалении ключа из реестра, можно удалить сам вирус с кодам delall, после следующем запуске системы?

19.11.2012, 21:40	#167 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	при следующем запуске системы, когда вредоносный файл не активен (поскольку исключен из автозапуска), можно уже что угодно делать с ним.

19.11.2012, 21:50	#169 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	да, такой, жди новые задания. ----------- смысл здесь такой: удаляя файлы скриптами, ты должен немного знать о поведении вредоносной программы, о ее самозащите (есть она или нет) и выбирать для скрипта соответствующий метод удаления или исключения из автозапуска.

19.11.2012, 21:57	#170 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	ПРИМЕР 8. карберп маячит у пользователя. образ здесь http://rghost.ru/41678197