Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 10.11.2012, 17:48   #76 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

Цитата:
Сообщение от Angel-iz-Ada Посмотреть сообщение
2. не работает интернет. в браузере постоянно появляется адрес HTTP://WWW.ASK.COM?O=101
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK_RFRLETITBIT2_S_MPCLN9514.EXE UNINSTALL
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
delref HTTP://WWW.ASK.COM?O=10148&L=DIS&TB=CLM
delref HTTP://WWW.MAIL.RU/CNT/5089
setdns Беспроводное сетевое соединение 2\4\{BD1269B2-0A84-4694-926A-94B66F7E862B}\
setdns Беспроводное сетевое соединение\4\{1A0460C7-19F3-431A-A08F-E7E49947C64C}\
setdns Подключение по локальной сети 2\4\{59D6514D-7146-4E9C-9FC2-351B98C7FFE8}\
setdns Подключение по локальной сети\4\{E5093161-6BF4-4FAC-9701-035BD75AD76F}\
deltmp
delnfr
restart
Цитата:
Сообщение от Angel-iz-Ada Посмотреть сообщение
3. обнаруживается вирус Dorkbot, а также антивирус ругается на флад атаку
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

addsgn A7679BF0AA02A4CA4FD4C69BC88C1261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CA2C89BE82BD6D77C3B68775BACCAD63536 8 Win32.Agent.QTP (VBA)
bl 685FFCD7C90059DDD988373A09780BF0 368640
delall %SystemRoot%\TEMP\MRT5679.TMP\STDRT.EXE
addsgn 9ADC4BDA5582BC8DF42BAEB164C81205158AFCF6B1FA1F7885C3C5BC51D84B803BB4521280AF5EF4F8AE3D79461649FA7DDFE97255DA9D6F1D4794028A7F7107 8 Win32/Dorkbot.A (Eset)
bl 26059AFF560F8D2C3A40C2E8E9F3712E 135168
delall %SystemDrive%\USERS\ЙОРШЪЪ\APPDATA\ROAMING\UMVYVS.EXE
addsgn 9252779A146AC1CC0BC4514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 8 Win32/Dorkbot.B
bl 84D569BADC7BFCF6D430C0C4B7614053 96256
delall %SystemDrive%\USERS\ЙОРШЪЪ\APPDATA\ROAMING\WLVYVU.EXE
chklst
delvir
deltmp
delnfr
restart
Цитата:
Сообщение от Angel-iz-Ada Посмотреть сообщение
4. обнаруживается вирус Carberp
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 79132211B9EBA00608D4AE3A695C1244250179DE7605E0F1081F3943AFFDB077A6F73FA8C121DFC23EA884DE46158877F599047255532534D3885B148AA2565A 8 Win32/TrojanDownloader.Carberp.W (ESET)
bl FB7682419DB74492637FE96258280A19 165376
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
chklst
delvir
delref HTTP://WWW.CHIPXP.RU/
delref HTTP://SOUNDTRACKI.INFO/
deltmp
delnfr
restart
Arkalik вне форума  
Старый 10.11.2012, 18:10   #77 (ссылка)
Эксперт
 
Аватар для Angel-iz-Ada
 
Регистрация: 06.11.2011
Сообщений: 8,232
Репутация: 864
Профиль в Twitter
По умолчанию

По первому:
1. одному вирусу запрещаешь запуск через bl, а второму нет. не принципиально конечно, но все же желательно всех блокировать.
2. добавляешь сигнатуру для маячка, а потом проверяешь список и удаляешь все вирусы - ты не в курсе что uVS перед удалением вируса хочет завершить все процессы в которые он внедрен? в данном случае после выполнения команды delvir - система уйдет в синяк и скрипт до конца не выполнится. то есть сигнатуру для маячка не нужно добавлять. ну или можешь ее добавить после выполнения команды delvir.
3. зачем очищаешь hosts файл? там ничего вирусного нет. просто блокировка Адоб серверов чтоб рега не слетала сам знаешь на что.

---------- Добавлено в 14:56 ---------- Предыдущее сообщение было написано в 14:55 ----------

по второму претензий нет

---------- Добавлено в 15:08 ---------- Предыдущее сообщение было написано в 14:56 ----------

По третьему:
1. не хватает команды adddir %SystemDrive%\USERS\ЙОРШЪЪ\APPDATA\ROAMING перед chklst delvir чтоб программа прошлась по этому каталогу и на основе своих сигнатур нашла все вирусы и удалила их
2. можно было бы еще снести GUARDMAILRU

---------- Добавлено в 15:10 ---------- Предыдущее сообщение было написано в 15:08 ----------

По четвертому :
1. из автозагрузки вирус успешно удален, но антивирус все еще ругается на его присутствие в памяти. лечи дальше.
Angel-iz-Ada вне форума  
Старый 10.11.2012, 18:20   #78 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

Цитата:
Сообщение от Angel-iz-Ada Посмотреть сообщение
1. одному вирусу запрещаешь запуск через bl, а второму нет. не принципиально конечно, но все же желательно всех блокировать.
Слишком много заданий сразу, заблудился
Цитата:
Сообщение от Angel-iz-Ada Посмотреть сообщение
2. добавляешь сигнатуру для маячка, а потом проверяешь список и удаляешь все вирусы - ты не в курсе что uVS перед удалением вируса хочет завершить все процессы в которые он внедрен? в данном случае после выполнения команды delvir - система уйдет в синяк и скрипт до конца не выполнится. то есть сигнатуру для маячка не нужно добавлять. ну или можешь ее добавить после выполнения команды delvir.
Столько раз видел что файлов dll и sys нельзя удалять. Но тут, как тут. Исправленный:
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

addsgn 1A59609A55835B8CF42BFB3A8849FE2D268AFC55D9535D780CCE891512D6F8596BBE8157B748D9E069800DAA06BF0BFAF4E2D4DB17DAD6A0381F0D6DC760AE7E 8 Trojan.Winlock.6049 (DrWeb)
zoo %SystemDrive%\USERS\ПАНДИШКА\APPDATA\ROAMING\TASKHOST.EXE
bl EAA5383F76256F9925CE1303AB1CB9BC 126976
delall %SystemDrive%\USERS\ПАНДИШКА\APPDATA\ROAMING\TASKHOST.EXE
chklst
delvir
delref %Sys32%\LTFSIJD.DLL
delref HTTP://ALL-BEST.PRO
delref HTTP://SPEEDBAR.RU
deltmp
delnfr
czoo
restart
Arkalik вне форума  
Старый 10.11.2012, 18:26   #79 (ссылка)
Эксперт
 
Аватар для Angel-iz-Ada
 
Регистрация: 06.11.2011
Сообщений: 8,232
Репутация: 864
Профиль в Twitter
По умолчанию

И еще - если ты знаешь что вирус не копирует себя по папкам (как Dorkbot например и некоторые другие), а лежит только в определенной папке (по типу Spy.Shiz, Spy.Voltar, Carberp), то и смысла в принципе нет добавлять сигнатуру в скрипт и затем проверять список\удалять вирусы командной. Себе в базу занеси, но из скрипта эти команды можно убрать.
Angel-iz-Ada вне форума  
Старый 10.11.2012, 18:26   #80 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

Цитата:
Сообщение от Angel-iz-Ada Посмотреть сообщение
По третьему:
1. не хватает команды adddir %SystemDrive%\USERS\ЙОРШЪЪ\APPDATA\ROAMING перед chklst delvir чтоб программа прошлась по этому каталогу и на основе своих сигнатур нашла все вирусы и удалила их
2. можно было бы еще снести GUARDMAILRU
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

addsgn A7679BF0AA02A4CA4FD4C69BC88C1261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CA2C89BE82BD6D77C3B68775BACCAD63536 8 Win32.Agent.QTP (VBA)
bl 685FFCD7C90059DDD988373A09780BF0 368640
delall %SystemRoot%\TEMP\MRT5679.TMP\STDRT.EXE
addsgn 9ADC4BDA5582BC8DF42BAEB164C81205158AFCF6B1FA1F7885C3C5BC51D84B803BB4521280AF5EF4F8AE3D79461649FA7DDFE97255DA9D6F1D4794028A7F7107 8 Win32/Dorkbot.A (Eset)
bl 26059AFF560F8D2C3A40C2E8E9F3712E 135168
delall %SystemDrive%\USERS\ЙОРШЪЪ\APPDATA\ROAMING\UMVYVS.EXE
addsgn 9252779A146AC1CC0BC4514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 8 Win32/Dorkbot.B
bl 84D569BADC7BFCF6D430C0C4B7614053 96256
delall %SystemDrive%\USERS\ЙОРШЪЪ\APPDATA\ROAMING\WLVYVU.EXE
adddir %SystemDrive%\USERS\ЙОРШЪЪ\APPDATA\ROAMING
chklst
delvir
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE UNINSTALL
exec MSIEXEC.EXE /I{FBFBBDD0-EC37-4152-BB77-7D54322AF953}
exec C:\PROGRAM FILES\DAEMON TOOLS TOOLBAR\UNINST.EXE
deltmp
delnfr
restart
Arkalik вне форума  
Ads
Старый 10.11.2012, 18:31   #81 (ссылка)
Эксперт
 
Аватар для Angel-iz-Ada
 
Регистрация: 06.11.2011
Сообщений: 8,232
Репутация: 864
Профиль в Twitter
По умолчанию

Тут все верно, но не нужно по 150 раз использовать delall - ты добавляешь сигнатуру, блокируешь запуск по хэшу, приоставливаешь запуск вируса, удаляешь вирус. Потом опять тоже самое и так 3-4 раза. Это только время занимает. Эти вирусы в любом случае будут обнаружены при проверке списка и удалении (delvir) - вот пускай он за раз и снесет все вирусы.
Angel-iz-Ada вне форума  
Старый 10.11.2012, 19:54   #82 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

Цитата:
Сообщение от Angel-iz-Ada Посмотреть сообщение
По четвертому :
1. из автозагрузки вирус успешно удален, но антивирус все еще ругается на его присутствие в памяти. лечи дальше.
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 79132211B9EBA00608D4AE3A695C1244250179DE7605E0F1081F3943AFFDB077A6F73FA8C121DFC23EA884DE46158877F599047255532534D3885B148AA2565A 8 Win32/TrojanDownloader.Carberp.W (ESET)
bl FB7682419DB74492637FE96258280A19 165376
chklst
delvir
fixvbr C: 5
delref HTTP://WWW.CHIPXP.RU/
delref HTTP://SOUNDTRACKI.INFO/
deltmp
delnfr
restart
Вот так Арвид?
Arkalik вне форума  
Старый 10.11.2012, 20:01   #83 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

желательно при этом и карантин собирать удаляемых файлов.
safety вне форума  
Старый 11.11.2012, 14:29   #84 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

Цитата:
Сообщение от safety Посмотреть сообщение
желательно при этом и карантин собирать удаляемых файлов.
Создать такой скрипт?
Arkalik вне форума  
Старый 11.11.2012, 15:14   #85 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

да, создай скрипт (с учетом этого замечания) на основе примера_задания 2, который есть в предыдущем моем сообщении. (ты его пока не выполнил.)
safety вне форума  
Старый 11.11.2012, 15:31   #86 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

Цитата:
Сообщение от safety Посмотреть сообщение
образ здесь
http://rghost.ru/41468310
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl C04DFFC9043F9A301D42858E797080DE 354816
addsgn A7679B19B96ECD5FB7DEEFB1F3C212054D10EEB7899212A3C5C33AA9B850314C80D938173E9298DDE2C0849F4616493D78B3DA3355DAB02C2DB0A10EE5472273 8 Win32/Spy.Shiz.NCF (ESET)
zoo %SystemRoot%\APPPATCH\VOJAIAD.EXE
chklst
delvir
delref HTTP://WWW.INET123.RU/
deltmp
delnfr
czoo
restart
Добавил вирус в архив.
Arkalik вне форума  
Старый 11.11.2012, 15:39   #87 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

здесь желательно ДОПОЛНИТЕЛЬНО использовать REGT 12, поскольку изменен автозапуск через параметр winlogon\userinit
--------------
Цитата:
Удовлетворяет критериям
_ЛИШНЕЕ В USERINIT (ССЫЛКА ~ USERINIT)(1) AND (ИМЯ ФАЙЛА !~ USERINIT.EXE)(1)
_SPY.SHIZ (ССЫЛКА ~ USERINIT)(1) AND (USERINIT ~ APPPATCH)(1)
_SPY.SHIZ* (ССЫЛКА ~ LOAD)(1) AND (LOAD ~ APPPATCH)(1)
_SHIZ** (ССЫЛКА ~ SYSTEM)(1) AND (ССЫЛКА ~ \USERINIT)(1) AND (ССЫЛКА ~ LOAD)(1) AND (ССЫЛКА ~ RUN)(1) AND (ССЫЛКА ~ USERINIT)(1)

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Userinit G:\WINDOWS\SYSTEM32\USERINIT.EXE,G:\WINDOWS\apppat ch\vojaiad.exe,
safety вне форума  
Старый 11.11.2012, 16:28   #88 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

safety, Понял, спасибо
Arkalik вне форума  
Ads
Старый 11.11.2012, 16:32   #89 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

готов приступить к третьему заданию?
safety вне форума  
Старый 11.11.2012, 16:46   #90 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

Цитата:
Сообщение от safety Посмотреть сообщение
готов приступить к третьему заданию?
С удовольствием!
Arkalik вне форума  
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Не запускается практически ни одна из программ. djabr3 Безопасность 11 20.12.2011 01:45
Перестали устанавливаться практически все игры AQUA46 Windows 7 1 15.06.2011 03:33
Ошибки практически во всех программах Gluk1 Windows Vista 1 20.03.2011 18:31
Практически не работает комп( хеелп KuBiK Неисправности, настройка 40 25.12.2009 23:36
Не устанавливаются практически ни одна игра fitil007 Железо 20 16.06.2009 16:42


Текущее время: 19:33. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.