11.11.2012, 16:56 | #91 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
http://rghost.ru/41495701 задание такое же. - анализ заражения - скрипт - какие критерии можно использовать для детекта данного файла |
11.11.2012, 17:15 | #92 (permalink) | |
Member
Регистрация: 29.10.2011
Сообщений: 5,543
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 554
|
Цитата:
Необходимо провести сравнение > вывести закономерность. Для этого необходимо несколько аналогов/образов. ---------- Добавлено в 18:00 ---------- Предыдущее сообщение было написано в 17:54 ---------- Аналог: http://rghost.ru/41469478 Будет легче |
|
11.11.2012, 17:15 | #93 (permalink) |
Member
Регистрация: 29.10.2011
Сообщений: 5,543
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 554
|
Аналог: http://rghost.ru/41469478
Будет легче |
11.11.2012, 17:19 | #94 (permalink) | |
Member
Регистрация: 14.04.2012
Сообщений: 5,384
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 2982
|
Цитата:
|
|
11.11.2012, 17:21 | #95 (permalink) | |
Member
Регистрация: 14.04.2012
Сообщений: 5,384
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 2982
|
Newdriver (больше сказать ни че не могу)
Код:
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn 79132211B982F18DF42BF3584833EDFAE946E07089FA1F7885C3C5BC50D621CB231753D43E5591CF2B80849F461649FA7DDF72F555DA30AF2D77A42FC7062273 8 newdriver 1 zoo %SystemRoot%\HOBIO.SYS delref HTTP://BROWSERHELP2.RU delref HTTP://WWW.MAIL.RU/CNT/8731 exec MSIEXEC.EXE /X{F75CF7C3-AB31-4E4E-A38D-051D634EE2A6} exec D:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE UNINSTALL exec "D:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL deltmp delnfr czoo sreg delref %SystemRoot%\HOBIO.SYS areg Ну примерно: Цитата:
|
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
11.11.2012, 17:28 | #96 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
почитай документацию по uVS -как создать критерий поиска. подсказка: критерий создается из окна информация (об объекте)
|
11.11.2012, 17:36 | #97 (permalink) |
Member
Регистрация: 29.10.2011
Сообщений: 5,543
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 554
|
Для критерия нужно задавать такие значения которые будут устойчивы.
т.е. имя диска меняется. имя файла меняется. Остаётся: \Services\newdriver\ Лишняя информация может привести к тому, что критерий не сработает. или даст ложные определения. ---------- Добавлено в 18:21 ---------- Предыдущее сообщение было написано в 18:15 ---------- И ещё следует смотреть какая система. Команды sreg delref %SystemRoot%\HOBIO.SYS areg Хорошо работают на XP На Win7 - после их применения могут быть проблемы. Это связано с доступом/сохранением информации реестра. т.е.может не хватить прав. Система будет работать но... Для Win7 delref %SystemRoot%\HOBIO.SYS + Помним о возможности выполнения скрипта в безопасном режиме. т.е. Мало дать человеку готовый скрипт. Нужно ещё и дать понятную/логичную НЕ перегруженную инструкцию. |
11.11.2012, 17:41 | #99 (permalink) | |
Member
Регистрация: 14.04.2012
Сообщений: 5,384
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 2982
|
Цитата:
Код:
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn 79132211B982F18DF42BF3584833EDFAE946E07089FA1F7885C3C5BC50D621CB231753D43E5591CF2B80849F461649FA7DDF72F555DA30AF2D77A42FC7062273 8 newdriver 1 delref %SystemRoot%\MOKOM.SYS delref HTTP://WWW.YANDEX.RU/?CLID=48100 delref HTTP://WWW.MAIL.RU/CNT/9516 delref CHROME://FASTDIAL/CONTENT/FASTDIAL.HTML exec "C:\PROGRAM FILES\YANDEX\YANDEXBARIE\UNINS000.EXE" exec MSIEXEC.EXE /X{79155F2B-9895-49D7-8612-D92580E0DE5B} deltmp delnfr restart |
|
11.11.2012, 17:49 | #100 (permalink) | |
Member
Регистрация: 29.10.2011
Сообщений: 5,543
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 554
|
Кроме того, важно правильно задать имя для критерия поиска.
Когда критериев накопиться 80-100 потребуется время чтобы сориентироваться. т.е. имя критерия должно дать точную информацию. По какой именно причине файл/объект получил статус: ?Вирус? т.е.Имена должны быть индивидуальны + при необходимости содержать подсказку. Например когда речь идёт о редком заражении. ---------- Добавлено в 18:34 ---------- Предыдущее сообщение было написано в 18:26 ---------- Цитата:
Не может этого знать по определению. Нужна практика/опыт работы с программой. Команду: delref %SystemRoot%\MOKOM.SYS лучше давать непосредственно перед командой restart Почему ? Допустим вирус регулярно проверяет наличае записи. HKLM\System\CurrentControlSet\Services\newdriver\I magePath Выполнение очистки Temp в ряде случаев занимает много времени ( Особенно при активном Антивирусе ) И на выполнение других команд затрачивается время. Поэтому важные команды лучше применить в конце скрипта. |
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
|