Как начать практически использовать uVS - Страница 15

safety · 18.11.2012, 18:28

ПРИМЕР 7.
здесь образ
http://rghost.ru/41650650

Аркалык · 18.11.2012, 18:54

Цитата:

Сообщение от safety

ПРИМЕР 7.

Код:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 71D15A48176AB1F90E9F7AF3644DD27108C2B2B689770ACA5581C53522DAFA519EC78157B740FB9969800DC362FE8EFF300FAA727CC7B12CD25241EC8506A192 8 a variant of Win32/Kryptik.AHNW (ESET)
zoo %Sys32%\DNSEOPLAY.EXE
bl 5643BEFC1C0A316DCEADA3FD339D14A2 196096
chklst
delvir
regt 12
deltmp
delnfr
czoo
restart

Почему образ создан в виртуальный машина?

safety · 18.11.2012, 18:59

это тестовый пример.
это инфо тебе ни о чем не говорит?

Цитата:

Полное имя C:\WINDOWS\SYSTEM32\LOGONGWIN.EXE
Имя файла LOGONGWIN.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
_ЛИШНЕЕ В USERINIT (ССЫЛКА ~ USERINIT)(1) AND (ИМЯ ФАЙЛА !~ USERINIT.EXE)(1)

Сохраненная информация на момент создания образа
Статус ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 196096 байт
Создан 15.04.2008 в 05:00:00
Изменен 15.04.2008 в 05:00:00
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Тип запуска Неизвестный отладчик приложения(ий)
Файл Возможно защищенный файл

Статус ВИРУС
Сигнатура tr.0628 [глубина совпадения 16(21), необх. минимум 8, максимум 64]

Доп. информация на момент обновления списка
SHA1 729DD667CF995D7E5EBCF819A51516E8C927AD24
MD5 5643BEFC1C0A316DCEADA3FD339D14A2

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\Debugger

как думаешь, что будет после удаления этого криптика?

Аркалык · 18.11.2012, 19:06

safety, Этот файл отсутствует в образе:

Цитата:

Сообщение от safety

C:\WINDOWS\SYSTEM32\LOGONGWIN.EXE

safety · 18.11.2012, 19:07

как он может отсутствовать в образе, если посчитаны его хэши?
---------
сорри, не тот образ смотрел, В ТВОЕМ ПРИМЕРЕ
ВОТ ТАКАЯ ИНФО

Цитата:

Полное имя C:\WINDOWS\SYSTEM32\DNSEOPLAY.EXE
Имя файла DNSEOPLAY.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
_ЛИШНЕЕ В USERINIT (ССЫЛКА ~ USERINIT)(1) AND (ИМЯ ФАЙЛА !~ USERINIT.EXE)(1)

Сохраненная информация на момент создания образа
Статус ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 196096 байт
Создан 15.04.2008 в 05:00:00
Изменен 15.04.2008 в 05:00:00
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Тип запуска Неизвестный отладчик приложения(ий)
Файл Возможно защищенный файл

Статус ВИРУС
Сигнатура tr.0628 [глубина совпадения 16(21), необх. минимум 8, максимум 64]

Доп. информация на момент обновления списка
SHA1 729DD667CF995D7E5EBCF819A51516E8C927AD24
MD5 5643BEFC1C0A316DCEADA3FD339D14A2

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\Debugger

Аркалык · 18.11.2012, 19:25

safety, Да ни чье не будет, по умолчанию файл userinit.exe (для входа в систему) в реестре находится тут:

Код:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="userinit.exe,"

А этот вирус создал копию userinit.exe. в разделе Image File Execution Options. Можно удалить весь раздел userinit.exe
А вирус обычный Winllocker-Баннер.

safety · 18.11.2012, 19:28

тогда подсказка тебе.
в логе выполнения твоего скрипта выходит сообщение

Цитата:

Завершение процессов...
C:\WINDOWS\SYSTEM32\DNSEOPLAY.EXE будет удален после перезагрузки
Запуск служб разблокирован
Изменено/удалено объектов автозапуска 1 из 1 | Удалено файлов: 0 из 1

safety · 18.11.2012, 19:50

Цитата:

Сообщение от Arkalik

safety, Да ни чье не будет, по умолчанию файл userinit.exe (для входа в систему) в реестре находится тут:

Код:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="userinit.exe,"

А этот вирус создал копию userinit.exe. в разделе Image File Execution Options. Можно удалить весь раздел userinit.exe
А вирус обычный Winllocker-Баннер.

здесь много неверных и неточных утверждений.
1. это не копия userinit.exe, это отладчик приложения.

Цитата:

Неизвестный отладчик приложения(ий)

что именно будешь удалять? как будешь удалять? рабочий стол после выполнения скрипта не загружается.
Ктому же файл, оказывается с самозащитой

Цитата:

Файл Возможно защищенный файл

, и uVS не удалось удалить его в активной системе... удаление отложено после перезагрузки.
---------
и это не винлокер, поскольку образ получен не из под live.CD, а из активной системы.

Аркалык · 18.11.2012, 19:53

safety, Файл защищен и не удаляется (при каждом перезагрузке изменяется имя файла)?

Цитата:

Сообщение от safety

Удалено файлов: 0 из 1

safety · 18.11.2012, 19:57

нет, в том и дело, что при перезагрузке файл будет удален (как указано в uVS).... но в этом и проблема. после этого рабочий стол не загружается.
-----------
здесь указано

Цитата:

Изменено/удалено объектов автозапуска 1 из 1 | Удалено файлов: 0 из 1

что uVS изменил объект автозапуска, но файл не был удален, будет удален после перезагрузки...

так это надо понимать.

18.11.2012, 19:25	#146 (permalink)
Аркалык Member Регистрация: 14.04.2012 Сообщений: 5,384 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 2982	safety, Да ни чье не будет, по умолчанию файл userinit.exe (для входа в систему) в реестре находится тут: Код: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="userinit.exe," А этот вирус создал копию userinit.exe. в разделе Image File Execution Options. Можно удалить весь раздел userinit.exe А вирус обычный Winllocker-Баннер.

18.11.2012, 18:28	#141 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	ПРИМЕР 7. здесь образ http://rghost.ru/41650650

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070