24.06.2012, 10:17 | #49 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
Hotab, типичная ошибка в скрипте.
Код:
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delall %SystemDrive%\DOCUMENTS AND SETTINGS\LOCALSERVICE\APPLICATION DATA\MICROSOFT\LENYZA.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LOCALSERVICE\APPLICATION DATA\MICROSOFT\LENYZA.EXE regt 12 deltmp delnfr czoo restart |
25.06.2012, 19:44 | #50 (ссылка) |
Стажёр
|
safety, Спасибо,такого больше и не делаю
---------- Добавлено в 18:44 ---------- Предыдущее сообщение было написано в 18:34 ---------- safety, Подскажите пожалуйста! 1.Какова вероятность того,что на максимальной длине сигнатуры будет совпадение с легитимом? 2.Возможно ли,что вирус,может не показаться в подозрительных файлах(и вообще в секции "все")? От чего это зависит? Спасибо) |
25.06.2012, 19:52 | #51 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
1. такая вероятность есть, скажем некоторые извлеченные сигнатуры фолсят достаточно сильно, (Stayerlown), поэтому я даже и не пытаюсь извлечь сигнатуру из этого трояна. Другие сигнатуры при совпадении с чистым файлом просто удаляю .(Не будем уподобляться Плюшкину, который хранит всякий хлам в своем чулане).
за фолсом надо следить - через проверки на ВТ, через внимательный просмотр инфо о файле. 2. Да, возможно. возможно по каким то причинам его нет в основном автозапуске. (Скажем, часто, SpyEye не попадает в подозрительные, но, правда он есть в основном, а вот файлики от Dorkbot часто могут оказаться не в основном автозапуске, но их можно найти в категории все. (Поэтому, если нет файлов, которые находятся в причинно-следственной связи с описанным симптомом, нет в основном и в подозрительных, то надо внимательно посмотреть еще и в категории все. |
25.06.2012, 19:55 | #52 (ссылка) |
Стажёр
|
safety, Отлично ,спасибо большое
Пока вспомнил,задам еще один вопрос. Заметил,что при лечении блокеров(загрузка с LiveCD и выбором системы) и создании образа зараженной системы,когда просматриваю образ,то много подозрительных файлов..Причем все легитимные.Если снять птичку с пункта "скрыть известные" то добавляется несколько файлов..В логе написано,что не удалось проверить подпись. Это случайно не сохранение образа "без проверки цифровых подписей" ? |
26.06.2012, 06:34 | #53 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
скорее всего, это использование загрузочного Live.CD, созданного на базе BART PE, или miniXP, в котором не поддерживается работа с цифровым каталогом. (поэтому большинство системных файлов оказывается без цифровой подписи). Работа с каталогом безопасности поддерживается начиная с WinPE, созданных на базе Vista или Win7.
-------- т.е. лучше использовать для исследования и получения образа системы Winpe на базе Win7. |
27.06.2012, 06:40 | #57 (ссылка) | |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
т.е. в settings добавляются параметры
Цитата:
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Не запускается практически ни одна из программ. | djabr3 | Безопасность | 11 | 20.12.2011 01:45 |
Перестали устанавливаться практически все игры | AQUA46 | Windows 7 | 1 | 15.06.2011 03:33 |
Ошибки практически во всех программах | Gluk1 | Windows Vista | 1 | 20.03.2011 18:31 |
Практически не работает комп( хеелп | KuBiK | Неисправности, настройка | 40 | 25.12.2009 23:36 |
Не устанавливаются практически ни одна игра | fitil007 | Железо | 20 | 16.06.2009 16:42 |