Как начать практически использовать uVS - Страница 18

Аркалык · 19.11.2012, 22:26

safety, Слишком старая версия UVS:

Цитата:

uVS v3.72: Microsoft Windows XP x86 (NT v5.1) build 2600 Service Pack 3 [C:\WINDOWS]

Скрипт:

Код:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

fixmbr MBR#0 [74,5GB]
fixvbr C: 5
deltmp
delnfr
restart

Активных вирусов вроде нет, и у многих файлов статус "файл не найден".

safety · 19.11.2012, 22:39

ну, да... проблема старая, fixmbr зачем здесь? почему ты решил что mbr тоже заражен?

Аркалык · 19.11.2012, 22:48

Думал так эффективное будет

Этот код применяется когда в логе uVS в MBR:стоит "Восклицательный знак"?

safety · 19.11.2012, 22:51

"эффектное" решение может создать дополнительную проблему юзеру вместо его решения
нужно правильное решение.
здесь заражен только IPL,

Цитата:

Полное имя IPL NTFS [C:]
Имя файла IPL NTFS [C:]
Тек. статус ?ВИРУС? ВИРУС загрузчик

www.virustotal.com 2012-02-10 [2011-12-14 11:09:14 UTC ( 11 months, 1 week ago )]
AntiVir BOO/Cidox.A

Сохраненная информация на момент создания образа
Статус загрузчик
Размер 7680 байт

Доп. информация на момент обновления списка
SHA1 016CDD8A258BC8AAFDC44D1571C36EE9E5407056

MBR же входит в проверенные загрузчики.

RP55.RP55 · 19.11.2012, 22:58

Ark

Можно выполнить лечение IPL
После чего запросить повторный/новый образ.
Проверить результат.

safety · 19.11.2012, 23:00

ПРИМЕР 9.
образ здесь
http://rghost.ru/41680001
симптом тот же, маячит карберп (у тех пользователей, у кого есет установлен)

Vvvyg · 19.11.2012, 23:00

Проверить обязательно, были модификации загрузочного Cidox, которые не давали uVS заменить IPL.

Аркалык · 20.11.2012, 19:44

Цитата:

Сообщение от Vvvyg

ПРИМЕР 9.

Скрипт:

Код:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

fixmbr MBR#0 [149,0GB]
fixvbr C: 5
deltmp
delnfr
restart

safety · 20.11.2012, 19:51

1. mbr здесь чист, не надо лишний раз его перезаписывать

Цитата:

Полное имя MBR#0 [149,0GB]
Имя файла MBR#0 [149,0GB]
Тек. статус загрузчик

www.virustotal.com 2012-09-15 [2011-09-25 12:53:14 UTC ( 1 year, 1 month ago )]
- Файл был чист на момент проверки.

2. обрати внимание как детектируется IPL на VT
https://www.virustotal.com/file/322f...a0eb/analysis/

что в этом случае следует ожидать?какие мысли есть по этому поводу?

Аркалык · 20.11.2012, 21:35

Цитата:

Сообщение от safety

что в этом случае следует ожидать?какие мысли есть по этому поводу?

safety, Не понял суть вопроса, вирус Rootkit.MBR.Mayachok

19.11.2012, 22:39	#172 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	ну, да... проблема старая, fixmbr зачем здесь? почему ты решил что mbr тоже заражен?

19.11.2012, 22:48	#173 (permalink)
Аркалык Member Регистрация: 14.04.2012 Сообщений: 5,384 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 2982	Думал так эффективное будет Этот код применяется когда в логе uVS в MBR:стоит "Восклицательный знак"?

19.11.2012, 22:58	#175 (permalink)
RP55.RP55 Member Регистрация: 29.10.2011 Сообщений: 5,543 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 554	Ark Можно выполнить лечение IPL После чего запросить повторный/новый образ. Проверить результат.

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

19.11.2012, 23:00	#176 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	ПРИМЕР 9. образ здесь http://rghost.ru/41680001 симптом тот же, маячит карберп (у тех пользователей, у кого есет установлен)

19.11.2012, 23:00	#177 (permalink)
Vvvyg Member Регистрация: 17.05.2011 Адрес: Тула Сообщений: 9,830 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 9863	Проверить обязательно, были модификации загрузочного Cidox, которые не давали uVS заменить IPL.