Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 19.11.2012, 21:36   #166 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

safety, RP55.RP55, Спасибо!
Но после удалении ключа из реестра, можно удалить сам вирус с кодам delall, после следующем запуске системы?
Arkalik вне форума  
Старый 19.11.2012, 21:40   #167 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

при следующем запуске системы, когда вредоносный файл не активен (поскольку исключен из автозапуска), можно уже что угодно делать с ним.
safety вне форума  
Старый 19.11.2012, 21:48   #168 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

safety, Значить, скрипт должен быть таким:
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 71D15A48176AB1F90E9F7AF3644DD27108C2B2B689770ACA5581C53522DAFA519EC78157B740FB9969800DC362FE8EFF300FAA727CC7B12CD25241EC8506A192 8 a variant of Win32/Kryptik.AHNW (ESET)
zoo %Sys32%\DNSEOPLAY.EXE
deltmp
delnfr
czoo
sreg
delref %Sys32%\DNSEOPLAY.EXE
areg
Задания провален:
Arkalik вне форума  
Ads
Старый 19.11.2012, 21:50   #169 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

да, такой,
жди новые задания.
-----------
смысл здесь такой: удаляя файлы скриптами, ты должен немного знать о поведении вредоносной программы, о ее самозащите (есть она или нет) и выбирать для скрипта соответствующий метод удаления или исключения из автозапуска.
safety вне форума  
Старый 19.11.2012, 21:57   #170 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

ПРИМЕР 8.
карберп маячит у пользователя.
образ здесь
http://rghost.ru/41678197
safety вне форума  
Старый 19.11.2012, 22:26   #171 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

safety, Слишком старая версия UVS:
Цитата:
uVS v3.72: Microsoft Windows XP x86 (NT v5.1) build 2600 Service Pack 3 [C:\WINDOWS]
Скрипт:
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

fixmbr MBR#0 [74,5GB]
fixvbr C: 5
deltmp
delnfr
restart
Активных вирусов вроде нет, и у многих файлов статус "файл не найден".
Arkalik вне форума  
Старый 19.11.2012, 22:39   #172 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

ну, да... проблема старая, fixmbr зачем здесь? почему ты решил что mbr тоже заражен?
safety вне форума  
Старый 19.11.2012, 22:48   #173 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

Думал так эффективное будет Этот код применяется когда в логе uVS в MBR:стоит "Восклицательный знак"?
Arkalik вне форума  
Старый 19.11.2012, 22:51   #174 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

"эффектное" решение может создать дополнительную проблему юзеру вместо его решения
нужно правильное решение.
здесь заражен только IPL,
Цитата:
Полное имя IPL NTFS [C:]
Имя файла IPL NTFS [C:]
Тек. статус ?ВИРУС? ВИРУС загрузчик

www.virustotal.com 2012-02-10 [2011-12-14 11:09:14 UTC ( 11 months, 1 week ago )]
AntiVir BOO/Cidox.A

Сохраненная информация на момент создания образа
Статус загрузчик
Размер 7680 байт

Доп. информация на момент обновления списка
SHA1 016CDD8A258BC8AAFDC44D1571C36EE9E5407056
MBR же входит в проверенные загрузчики.
safety вне форума  
Старый 19.11.2012, 22:58   #175 (ссылка)
Специалист
 
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
По умолчанию

Arkalik
Можно выполнить лечение IPL
После чего запросить повторный/новый образ.
Проверить результат.
RP55.RP55 вне форума  
Старый 19.11.2012, 23:00   #176 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

ПРИМЕР 9.
образ здесь
http://rghost.ru/41680001
симптом тот же, маячит карберп (у тех пользователей, у кого есет установлен)
safety вне форума  
Ads
Старый 19.11.2012, 23:00   #177 (ссылка)
Эксперт
 
Регистрация: 25.05.2011
Сообщений: 9,136
Репутация: 811
По умолчанию

Проверить обязательно, были модификации загрузочного Cidox, которые не давали uVS заменить IPL.
Vvvyg вне форума  
Старый 20.11.2012, 19:44   #178 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

Цитата:
Сообщение от Vvvyg Посмотреть сообщение
ПРИМЕР 9.
Скрипт:
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

fixmbr MBR#0 [149,0GB]
fixvbr C: 5
deltmp
delnfr
restart
Arkalik вне форума  
Старый 20.11.2012, 19:51   #179 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

1. mbr здесь чист, не надо лишний раз его перезаписывать
Цитата:
Полное имя MBR#0 [149,0GB]
Имя файла MBR#0 [149,0GB]
Тек. статус загрузчик

www.virustotal.com 2012-09-15 [2011-09-25 12:53:14 UTC ( 1 year, 1 month ago )]
- Файл был чист на момент проверки.
2. обрати внимание как детектируется IPL на VT
https://www.virustotal.com/file/322f...a0eb/analysis/

что в этом случае следует ожидать?какие мысли есть по этому поводу?
safety вне форума  
Старый 20.11.2012, 21:35   #180 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

Цитата:
Сообщение от safety Посмотреть сообщение
что в этом случае следует ожидать?какие мысли есть по этому поводу?
safety, Не понял суть вопроса, вирус Rootkit.MBR.Mayachok
Arkalik вне форума  
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Не запускается практически ни одна из программ. djabr3 Безопасность 11 20.12.2011 01:45
Перестали устанавливаться практически все игры AQUA46 Windows 7 1 15.06.2011 03:33
Ошибки практически во всех программах Gluk1 Windows Vista 1 20.03.2011 18:31
Практически не работает комп( хеелп KuBiK Неисправности, настройка 40 25.12.2009 23:36
Не устанавливаются практически ни одна игра fitil007 Железо 20 16.06.2009 16:42


Текущее время: 10:20. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.