Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 18.11.2012, 17:06   #136 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

после выполнения скрипта у юзера пропал доступ к сети. что делать?
safety вне форума  
Ads
Старый 18.11.2012, 18:07   #137 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

safety, Пуск - Выполнить - Cmd - ipconfig /flushdns
Arkalik вне форума  
Старый 18.11.2012, 18:10   #138 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

нет, не поможет. не было отравления кэша DNS
safety вне форума  
Старый 18.11.2012, 18:14   #139 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

safety, Пуск - выполнить - cmd - netsh winsock reset
Arkalik вне форума  
Старый 18.11.2012, 18:25   #140 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

ну, это уже похоже на правильный ответ
safety вне форума  
Старый 18.11.2012, 18:28   #141 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

ПРИМЕР 7.
здесь образ
http://rghost.ru/41650650
safety вне форума  
Старый 18.11.2012, 18:54   #142 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

Цитата:
Сообщение от safety Посмотреть сообщение
ПРИМЕР 7.
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 71D15A48176AB1F90E9F7AF3644DD27108C2B2B689770ACA5581C53522DAFA519EC78157B740FB9969800DC362FE8EFF300FAA727CC7B12CD25241EC8506A192 8 a variant of Win32/Kryptik.AHNW (ESET)
zoo %Sys32%\DNSEOPLAY.EXE
bl 5643BEFC1C0A316DCEADA3FD339D14A2 196096
chklst
delvir
regt 12
deltmp
delnfr
czoo
restart
Почему образ создан в виртуальный машина?
Arkalik вне форума  
Старый 18.11.2012, 18:59   #143 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

это тестовый пример.
это инфо тебе ни о чем не говорит?
Цитата:
Полное имя C:\WINDOWS\SYSTEM32\LOGONGWIN.EXE
Имя файла LOGONGWIN.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
_ЛИШНЕЕ В USERINIT (ССЫЛКА ~ USERINIT)(1) AND (ИМЯ ФАЙЛА !~ USERINIT.EXE)(1)

Сохраненная информация на момент создания образа
Статус ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 196096 байт
Создан 15.04.2008 в 05:00:00
Изменен 15.04.2008 в 05:00:00
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Тип запуска Неизвестный отладчик приложения(ий)
Файл Возможно защищенный файл

Статус ВИРУС
Сигнатура tr.0628 [глубина совпадения 16(21), необх. минимум 8, максимум 64]

Доп. информация на момент обновления списка
SHA1 729DD667CF995D7E5EBCF819A51516E8C927AD24
MD5 5643BEFC1C0A316DCEADA3FD339D14A2

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\Debugger
как думаешь, что будет после удаления этого криптика?
safety вне форума  
Старый 18.11.2012, 19:06   #144 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

safety, Этот файл отсутствует в образе:
Цитата:
Сообщение от safety Посмотреть сообщение
C:\WINDOWS\SYSTEM32\LOGONGWIN.EXE
Arkalik вне форума  
Ads
Старый 18.11.2012, 19:07   #145 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

как он может отсутствовать в образе, если посчитаны его хэши?
---------
сорри, не тот образ смотрел, В ТВОЕМ ПРИМЕРЕ
ВОТ ТАКАЯ ИНФО
Цитата:
Полное имя C:\WINDOWS\SYSTEM32\DNSEOPLAY.EXE
Имя файла DNSEOPLAY.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
_ЛИШНЕЕ В USERINIT (ССЫЛКА ~ USERINIT)(1) AND (ИМЯ ФАЙЛА !~ USERINIT.EXE)(1)

Сохраненная информация на момент создания образа
Статус ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 196096 байт
Создан 15.04.2008 в 05:00:00
Изменен 15.04.2008 в 05:00:00
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Тип запуска Неизвестный отладчик приложения(ий)
Файл Возможно защищенный файл

Статус ВИРУС
Сигнатура tr.0628 [глубина совпадения 16(21), необх. минимум 8, максимум 64]

Доп. информация на момент обновления списка
SHA1 729DD667CF995D7E5EBCF819A51516E8C927AD24
MD5 5643BEFC1C0A316DCEADA3FD339D14A2

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\Debugger


Последний раз редактировалось safety; 18.11.2012 в 19:15.
safety вне форума  
Старый 18.11.2012, 19:25   #146 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

safety, Да ни чье не будет, по умолчанию файл userinit.exe (для входа в систему) в реестре находится тут:
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="userinit.exe,"
А этот вирус создал копию userinit.exe. в разделе Image File Execution Options. Можно удалить весь раздел userinit.exe
А вирус обычный Winllocker-Баннер.
Arkalik вне форума  
Старый 18.11.2012, 19:28   #147 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

тогда подсказка тебе.
в логе выполнения твоего скрипта выходит сообщение

Цитата:
Завершение процессов...
C:\WINDOWS\SYSTEM32\DNSEOPLAY.EXE будет удален после перезагрузки
Запуск служб разблокирован
Изменено/удалено объектов автозапуска 1 из 1 | Удалено файлов: 0 из 1
safety вне форума  
Старый 18.11.2012, 19:50   #148 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

Цитата:
Сообщение от Arkalik Посмотреть сообщение
safety, Да ни чье не будет, по умолчанию файл userinit.exe (для входа в систему) в реестре находится тут:
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="userinit.exe,"
А этот вирус создал копию userinit.exe. в разделе Image File Execution Options. Можно удалить весь раздел userinit.exe
А вирус обычный Winllocker-Баннер.
здесь много неверных и неточных утверждений.
1. это не копия userinit.exe, это отладчик приложения.
Цитата:
Неизвестный отладчик приложения(ий)
что именно будешь удалять? как будешь удалять? рабочий стол после выполнения скрипта не загружается.
Ктому же файл, оказывается с самозащитой
Цитата:
Файл Возможно защищенный файл
, и uVS не удалось удалить его в активной системе... удаление отложено после перезагрузки.
---------
и это не винлокер, поскольку образ получен не из под live.CD, а из активной системы.
safety вне форума  
Старый 18.11.2012, 19:53   #149 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

safety, Файл защищен и не удаляется (при каждом перезагрузке изменяется имя файла)?
Цитата:
Сообщение от safety Посмотреть сообщение
Удалено файлов: 0 из 1
Arkalik вне форума  
Старый 18.11.2012, 19:57   #150 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

нет, в том и дело, что при перезагрузке файл будет удален (как указано в uVS).... но в этом и проблема. после этого рабочий стол не загружается.
-----------
здесь указано
Цитата:
Изменено/удалено объектов автозапуска 1 из 1 | Удалено файлов: 0 из 1
что uVS изменил объект автозапуска, но файл не был удален, будет удален после перезагрузки...

так это надо понимать.
safety вне форума  
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Не запускается практически ни одна из программ. djabr3 Безопасность 11 20.12.2011 01:45
Перестали устанавливаться практически все игры AQUA46 Windows 7 1 15.06.2011 03:33
Ошибки практически во всех программах Gluk1 Windows Vista 1 20.03.2011 18:31
Практически не работает комп( хеелп KuBiK Неисправности, настройка 40 25.12.2009 23:36
Не устанавливаются практически ни одна игра fitil007 Железо 20 16.06.2009 16:42


Текущее время: 04:03. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.