Как начать практически использовать uVS

[safety]

после выполнения скрипта у юзера пропал доступ к сети. что делать?

[Arkalik]

safety, Пуск - Выполнить - Cmd - ipconfig /flushdns

[safety]

нет, не поможет. не было отравления кэша DNS

[Arkalik]

safety, Пуск - выполнить - cmd - netsh winsock reset

[safety]

ну, это уже похоже на правильный ответ

[safety]

ПРИМЕР 7.
здесь образ
http://rghost.ru/41650650

[Arkalik]

Цитата:

Сообщение от safety

ПРИМЕР 7.

Код:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 71D15A48176AB1F90E9F7AF3644DD27108C2B2B689770ACA5581C53522DAFA519EC78157B740FB9969800DC362FE8EFF300FAA727CC7B12CD25241EC8506A192 8 a variant of Win32/Kryptik.AHNW (ESET)
zoo %Sys32%\DNSEOPLAY.EXE
bl 5643BEFC1C0A316DCEADA3FD339D14A2 196096
chklst
delvir
regt 12
deltmp
delnfr
czoo
restart

Почему образ создан в виртуальный машина?

[safety]

это тестовый пример.
это инфо тебе ни о чем не говорит?

Цитата:

Полное имя C:\WINDOWS\SYSTEM32\LOGONGWIN.EXE
Имя файла LOGONGWIN.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
_ЛИШНЕЕ В USERINIT (ССЫЛКА ~ USERINIT)(1) AND (ИМЯ ФАЙЛА !~ USERINIT.EXE)(1)

Сохраненная информация на момент создания образа
Статус ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 196096 байт
Создан 15.04.2008 в 05:00:00
Изменен 15.04.2008 в 05:00:00
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Тип запуска Неизвестный отладчик приложения(ий)
Файл Возможно защищенный файл

Статус ВИРУС
Сигнатура tr.0628 [глубина совпадения 16(21), необх. минимум 8, максимум 64]

Доп. информация на момент обновления списка
SHA1 729DD667CF995D7E5EBCF819A51516E8C927AD24
MD5 5643BEFC1C0A316DCEADA3FD339D14A2

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\Debugger

как думаешь, что будет после удаления этого криптика?

[Arkalik]

safety, Этот файл отсутствует в образе:

Цитата:

Сообщение от safety

C:\WINDOWS\SYSTEM32\LOGONGWIN.EXE

[safety]

как он может отсутствовать в образе, если посчитаны его хэши?
---------
сорри, не тот образ смотрел, В ТВОЕМ ПРИМЕРЕ
ВОТ ТАКАЯ ИНФО

Цитата:

Полное имя C:\WINDOWS\SYSTEM32\DNSEOPLAY.EXE
Имя файла DNSEOPLAY.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
_ЛИШНЕЕ В USERINIT (ССЫЛКА ~ USERINIT)(1) AND (ИМЯ ФАЙЛА !~ USERINIT.EXE)(1)

Сохраненная информация на момент создания образа
Статус ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 196096 байт
Создан 15.04.2008 в 05:00:00
Изменен 15.04.2008 в 05:00:00
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Тип запуска Неизвестный отладчик приложения(ий)
Файл Возможно защищенный файл

Статус ВИРУС
Сигнатура tr.0628 [глубина совпадения 16(21), необх. минимум 8, максимум 64]

Доп. информация на момент обновления списка
SHA1 729DD667CF995D7E5EBCF819A51516E8C927AD24
MD5 5643BEFC1C0A316DCEADA3FD339D14A2

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\Debugger

[Arkalik]

safety, Да ни чье не будет, по умолчанию файл userinit.exe (для входа в систему) в реестре находится тут:

Код:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="userinit.exe,"

А этот вирус создал копию userinit.exe. в разделе Image File Execution Options. Можно удалить весь раздел userinit.exe
А вирус обычный Winllocker-Баннер.

[safety]

тогда подсказка тебе.
в логе выполнения твоего скрипта выходит сообщение

Цитата:

Завершение процессов...
C:\WINDOWS\SYSTEM32\DNSEOPLAY.EXE будет удален после перезагрузки
Запуск служб разблокирован
Изменено/удалено объектов автозапуска 1 из 1 | Удалено файлов: 0 из 1

[safety]

Цитата:

Сообщение от Arkalik

safety, Да ни чье не будет, по умолчанию файл userinit.exe (для входа в систему) в реестре находится тут:

Код:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="userinit.exe,"

А этот вирус создал копию userinit.exe. в разделе Image File Execution Options. Можно удалить весь раздел userinit.exe
А вирус обычный Winllocker-Баннер.

здесь много неверных и неточных утверждений.
1. это не копия userinit.exe, это отладчик приложения.

Цитата:

Неизвестный отладчик приложения(ий)

что именно будешь удалять? как будешь удалять? рабочий стол после выполнения скрипта не загружается.
Ктому же файл, оказывается с самозащитой

Цитата:

Файл Возможно защищенный файл

, и uVS не удалось удалить его в активной системе... удаление отложено после перезагрузки.
---------
и это не винлокер, поскольку образ получен не из под live.CD, а из активной системы.

[Arkalik]

safety, Файл защищен и не удаляется (при каждом перезагрузке изменяется имя файла)?

Цитата:

Сообщение от safety

Удалено файлов: 0 из 1

[safety]

нет, в том и дело, что при перезагрузке файл будет удален (как указано в uVS).... но в этом и проблема. после этого рабочий стол не загружается.
-----------
здесь указано

Цитата:

Изменено/удалено объектов автозапуска 1 из 1 | Удалено файлов: 0 из 1

что uVS изменил объект автозапуска, но файл не был удален, будет удален после перезагрузки...

так это надо понимать.