30.07.2012, 14:50 | #62 (permalink) | ||
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
здесь можно посмотреть
http://www.kompasnet.org/showthread.php?t=3471 ---------- да, похоже подмена определения CLSID должно быть так (это в своей системе смотрел. XP SP3) должно быть прописано Цитата:
Цитата:
|
||
03.11.2012, 21:33 | #63 (permalink) |
Member
Регистрация: 14.04.2012
Сообщений: 5,384
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 2982
|
Здравствуйте уважаемые мои учителя!
Есть разница в программах HiJack This и RSIT? И какое из них лучше? Есть вообще разница у этих программ друг от друга? |
03.11.2012, 21:37 | #64 (permalink) |
Member
Регистрация: 17.05.2011
Адрес: Тула
Сообщений: 9,825
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 9863
|
Можно для начала сравнить логи обеих программ и сделать вывод самостоятельно. Hint: лог RSIT включает в себя лог HiJackThis, он его скачивает и запускает (если удалось).
|
09.11.2012, 22:43 | #65 (permalink) |
Member
Регистрация: 14.04.2012
Сообщений: 5,384
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 2982
|
Уважаемые специалисты раздела "Б"! Реально мне надоел, смотреть на ваши логи. Хочу испытать себя в настоящей войне, в поле боя против вирусов. Чтобы принять меня в ваш отряд, дайте мне несколько заложников для испытаний, например таких:
Простые логи 1 - Простые логи 2: Средние логи 1 и т.д Если провалю задание, все больше ну буду беспокоить. (это не шутка!) |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
10.11.2012, 13:58 | #66 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
Аркалик:
вот тебе пример1 http://rghost.ru/41467659 а) определить тип заражения (можно указать несколько классификаций), б) написать скрипт лечения в uVS |
10.11.2012, 14:21 | #67 (permalink) |
Member
Регистрация: 14.04.2012
Сообщений: 5,384
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 2982
|
Тип заражения Win32/LockScreen (Баннер)
Код:
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\TEMP\0.5440544058037138.EXE delall %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\TEMP\0.5440544058037138.EXE delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU delref HTTP://START.TICNO.COM regt 12 deltmp delnfr restart |
10.11.2012, 14:24 | #68 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
на lockscreen не похоже, как бы юзер смог создать образ автозапуска в нормальном режиме?
Boot: Normal ------ к скрипту замечаний нет, но желательно так же увидеть вариант скрипта с добавлением сигнатуры трояна. + дополнительно, создать критерий поиска по данному трояну, чтобы подобный образец мог вылавливаться с помощью критерия. текст критерия можно здесь опубликовать. + еще один образ проанализировать так же тип заражения, скрипт с использованием сигнатуры, критерий поиска для детекта данного трояна. образ здесь http://rghost.ru/41468310 |
10.11.2012, 14:36 | #69 (permalink) | ||
Member
Регистрация: 14.04.2012
Сообщений: 5,384
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 2982
|
Цитата:
Цитата:
Код:
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 addsgn A7679B19B9528B77DDE4ECB172DB12054F8A96F6E3FA7578EF3CAFBCAFC3D5CC6117E252246DDF4995CF849F4650C2E7F4EDAA727CC7391E6F772FE1EE0BF144 8 Trojan.1 zoo %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\TEMP\0.5440544058037138.EXE bl CC8E0CF1EB54C6C2AC319E4F3DB5945B 265728 delall %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\TEMP\0.5440544058037138.EXE delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU delref HTTP://START.TICNO.COM regt 12 deltmp delnfr restart |
||
10.11.2012, 14:39 | #70 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
а по способу запуска можешь привести как банеры (winlock) стартуют в системе?
по применению сигнатур - нет важных команд, которые работают с сигнатурами. + смотри выше еще один пример. |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
Опции темы | |
Опции просмотра | |
|
|