19.11.2012, 07:24 | #161 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
(вполне возможно, и это решение сработает, но некрасивое решение.) |
19.11.2012, 15:38 | #162 (permalink) | |
Member
Регистрация: 14.04.2012
Сообщений: 5,384
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 2982
|
Удаляется и файл и ссылки в реестре. Файл защищен и при помощи виртуализаций реестра удалил вирус.
Цитата:
Что бы обмануть вируса, защищенный вирус все время следит за реестром и не дает удалят свои ключи с реестра. В таких случаях применяется "Виртуализация реестра" |
|
19.11.2012, 16:21 | #163 (permalink) |
Member
Регистрация: 17.05.2011
Адрес: Тула
Сообщений: 9,829
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 9863
|
Обновилась база проверенных файлов uVS.
|
19.11.2012, 21:08 | #164 (permalink) | |
Member
Регистрация: 29.10.2011
Сообщений: 5,543
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 554
|
Цитата:
delref %Sys32%\DNSEOPLAY.EXE areg Если Мы работаем с реестром - значит работаем с ссылками. НЕ непосредственно с файлом. Тело файла можно удалить после перезагрузки системы. Тогда - когда он уже будет неактивен. Путём создания нового скрипта. Важна по этапность в работе. |
|
19.11.2012, 21:19 | #165 (permalink) | |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
Цитата:
самозащита файла может и более радикально отреагировать - скажем, отправить систему в BSOD, (и на этом завершится выполнение скрипта) потому файл здесь не трогаем, а удаляем только ссылку в виртуализованном реестре. delref. |
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
19.11.2012, 21:40 | #167 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
при следующем запуске системы, когда вредоносный файл не активен (поскольку исключен из автозапуска), можно уже что угодно делать с ним.
|
19.11.2012, 21:48 | #168 (permalink) |
Member
Регистрация: 14.04.2012
Сообщений: 5,384
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 2982
|
safety, Значить, скрипт должен быть таким:
Код:
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn 71D15A48176AB1F90E9F7AF3644DD27108C2B2B689770ACA5581C53522DAFA519EC78157B740FB9969800DC362FE8EFF300FAA727CC7B12CD25241EC8506A192 8 a variant of Win32/Kryptik.AHNW (ESET) zoo %Sys32%\DNSEOPLAY.EXE deltmp delnfr czoo sreg delref %Sys32%\DNSEOPLAY.EXE areg |
19.11.2012, 21:50 | #169 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
да, такой,
жди новые задания. ----------- смысл здесь такой: удаляя файлы скриптами, ты должен немного знать о поведении вредоносной программы, о ее самозащите (есть она или нет) и выбирать для скрипта соответствующий метод удаления или исключения из автозапуска. |
19.11.2012, 21:57 | #170 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
|