Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 12.11.2012, 21:23   #121 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

Цитата:
Сообщение от safety Посмотреть сообщение
здесь имею ввиду, что reg22 не сработает на восстановление, поскольку по условию копия рееестра из Repair не сохранилась (а в Vista/Win7 ее там нет)... надо вручную прописать в команде скрипта восстановление ассоциации
Значить, надо вручную создать текстовый файл для восстановление ассоциации exe файлов и сохранить ее в .reg формате, и внесите изменение кликая на этот рег файл? Или я неправильно создаю скрипт в UVS и надо по другому создать скрипт?
Arkalik вне форума  
Старый 12.11.2012, 22:27   #122 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

да, надо посмотреть описание neshta, где в реестре (в аасоциациях) прописан его запуск, и исправить на правильное значение с помощью EXEC cmd /c" reg......."
safety вне форума  
Старый 12.11.2012, 22:47   #123 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

Цитата:
Сообщение от safety Посмотреть сообщение
EXEC cmd /c" reg......."
Этот код создается автоматический (при помощи мышки) или надо вручную вписать в скрипт UVS? И еще походу у меня уже убитый вирус:
Цитата:
После активации вирус копирует свое тело в корневой каталог Windows под именем svchost.com:

%WinDir%\svchost.com

Данный файл имеет размер 41472 байта.

md5: BC93F4F527B58419EF42F19DB49F64A8
sha1: 2650A73B61577CFC0C0D80A7F38103D65388D808
А у меня:
Цитата:
Имя файла SVCHOST.COM
Размер 0 байт
SHA1 DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
MD5 D41D8CD98F00B204E9800998ECF8427E
Ссылки на объект
Ссылка HKLM\Software\Classes\exefile\shell\open\command\
NULL C:\WINDOWS\svchost.com "%1" %*
Arkalik вне форума  
Старый 12.11.2012, 22:52   #124 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

возможно, он очищен антивирусом до 0байт, но все равно нарушает ассоциацию exe
-----------
отсюда надо плясать
Цитата:
Вирус изменяет значения следующего параметра ключа системного реестра:

[HKCR\exefile\shell\open\command]
"(default)" = "%WinDir%\svchost.com "%1" %*"

Таким образом, при запуске всех EXE-файлов в системе будет запускаться тело вируса %WinDir%\svchost.com с параметром равным имени программы, которую запускает пользователь.
http://www.securelist.com/ru/descrip...Win32.Neshta.a
safety вне форума  
Старый 13.11.2012, 13:40   #125 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

safety,
Цитата:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
Сохраняет в виде .reg и пользуется.
Arkalik вне форума  
Старый 13.11.2012, 13:48   #126 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

а в скрипте uVS как это реализовать?
safety вне форума  
Старый 17.11.2012, 12:53   #127 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

ПРИМЕР 5
----------------
образ здесь
http://rghost.ru/41621392

какие могут быть симптомы у пострадавшей системы, и как это лечится скриптом в uVS
safety вне форума  
Старый 17.11.2012, 13:30   #128 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

safety, ПРИМЕР 5
Симптомы: Не работает меню Пуск
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 8D1FEAE1A62ADFEEFFF781113F61F21D 12800
zoo %SystemDrive%\PROGRAMDATA\CREATIVE\CREXVX.OCX
delall %SystemDrive%\PROGRAMDATA\CREATIVE\CREXVX.OCX
deltmp
delnfr
czoo
restart
Я удалил вирус, но еще нужно восстановить работоспособность ОС

Последний раз редактировалось Arkalik; 17.11.2012 в 13:44.
Arkalik вне форума  
Ads
Старый 17.11.2012, 15:23   #129 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

вообще то скрипт должен восстановить функциональность Пуск
safety вне форума  
Старый 17.11.2012, 15:34   #130 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

safety, В тот раз был же тема, где использовалась уникальный код для удаление этого вируса. Точно не помню, либо был скрипт AVZ или UVS с исправлением реестра, после удаление вируса.

---------- Добавлено в 16:34 ---------- Предыдущее сообщение было написано в 16:27 ----------

Да вот нашел: http://pchelpforum.ru/showpost.php?p...7&postcount=16
Arkalik вне форума  
Старый 17.11.2012, 15:42   #131 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

это в том случае, если система была залечена, и следов crexv нет в системе, и нет нужных clsid в реестре, приходится их восстанавливать руками. а здесь в образе эти clsid-ы есть только в них прописаны не системные dll, а crevx
safety вне форума  
Старый 18.11.2012, 13:50   #132 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

safety, Еще будут заданий?
Arkalik вне форума  
Старый 18.11.2012, 14:06   #133 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

да, будут... еще 5 примеров от меня,
safety вне форума  
Старый 18.11.2012, 14:32   #134 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

ПРИМЕР. 6
образ скачать отсюда
http://rghost.ru/41644929
-----------
написать скрипт лечения данной системы.
safety вне форума  
Старый 18.11.2012, 15:22   #135 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

Цитата:
Сообщение от safety Посмотреть сообщение
ПРИМЕР. 6
написать скрипт лечения данной системы.
Код:
addsgn A7679BF0AA0208F24AD4C6711C891295412BFCF689FA4F1C0CE6C5BC50D6F2A05F449500B730757AF009D9632C14B6EF41CFA8720C59BD94AC36A4D0440BBAF2 8 a variant of Win32/Kryptik.ACMS (ESET)
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\PAZZO\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\7VK3UD9QZS.EXE
bl 22484A6A966D666DD733A7A7AA326242 117248
addsgn A7679B1BB9D24D720B132B1D9A37ED05258AFC310C16E1877AC3C5BC5011F430DDE83C333E559D8EAE687A60B91449FA7D18AD8A55DAB02CEAF214D138F92273 8 a variant of Win32/Kryptik.ACMS 1
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\PAZZO\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KGXC999QLN4.EXE
bl 49131E2CF121500B4FDB2D51AFE0A95E 317440
chklst
delvir
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\PAZZO\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZKHFHXQ2PBA.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\PAZZO\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZKHFHXQ2PBA.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\QPN7GI3.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\QPN7GI3.DLL
zoo %SystemRoot%\OKYYA.SYS
delref %SystemRoot%\OKYYA.SYS
delref COPY
delref HTTP://WWW.YAHOO.COM
delref HTTP://WWW.YANDEX.RU/?CLID=140504
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK_RFRMEDIAGET_MPCLN8746.EXE UNINSTALL
exec C:\PROGRAM FILES\TICNO\TABS\UNINSTALL.EXE
exec C:\PROGRAM FILES\TICNO\MULTIBAR\UNINSTALL.EXE
exec RUNDLL32.EXE C:\PROGRA~1\YAHOO!\COMPAN~1\INSTALLS\CPN\YCOMP5~1.DLL,DLLCOMMAND UI
exec MSIEXEC.EXE /I{FBFBBDD0-EC37-4152-BB77-7D54322AF953}
regt 14
regt 12
regt 18
deltmp
delnfr
czoo
restart
Arkalik вне форума  
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Не запускается практически ни одна из программ. djabr3 Безопасность 11 20.12.2011 01:45
Перестали устанавливаться практически все игры AQUA46 Windows 7 1 15.06.2011 03:33
Ошибки практически во всех программах Gluk1 Windows Vista 1 20.03.2011 18:31
Практически не работает комп( хеелп KuBiK Неисправности, настройка 40 25.12.2009 23:36
Не устанавливаются практически ни одна игра fitil007 Железо 20 16.06.2009 16:42


Текущее время: 06:02. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.