Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 02.07.2012, 21:28   #61 (ссылка)
Стажёр
 
Аватар для Hotab
 
Регистрация: 10.11.2010
Сообщений: 1,904
Записей в блоге: 1
Репутация: 120
По умолчанию

Angel-iz-Ada, Сэнк!
Hotab вне форума  
Старый 30.07.2012, 14:50   #62 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

здесь можно посмотреть
http://www.kompasnet.org/showthread.php?t=3471
----------
да, похоже подмена определения CLSID
должно быть так (это в своей системе смотрел. XP SP3)

должно быть прописано
Цитата:
%SystemRoot%\system32\SHELL32.dll
ветка реестра
Цитата:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545 d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00 ,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00 ,32,00,5c,00,53,00,48,00,\
45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c ,00,00,00
"ThreadingModel"="Apartment"

Последний раз редактировалось safety; 30.07.2012 в 15:05.
safety вне форума  
Старый 03.11.2012, 21:33   #63 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

Здравствуйте уважаемые мои учителя!
Есть разница в программах HiJack This и RSIT? И какое из них лучше? Есть вообще разница у этих программ друг от друга?
Arkalik вне форума  
Старый 03.11.2012, 21:37   #64 (ссылка)
Эксперт
 
Регистрация: 25.05.2011
Сообщений: 9,136
Репутация: 811
По умолчанию

Можно для начала сравнить логи обеих программ и сделать вывод самостоятельно. Hint: лог RSIT включает в себя лог HiJackThis, он его скачивает и запускает (если удалось).
Vvvyg вне форума  
Ads
Старый 09.11.2012, 22:43   #65 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

Уважаемые специалисты раздела "Б"! Реально мне надоел, смотреть на ваши логи. Хочу испытать себя в настоящей войне, в поле боя против вирусов. Чтобы принять меня в ваш отряд, дайте мне несколько заложников для испытаний, например таких:
Простые логи 1 - Простые логи 2:
Средние логи 1 и т.д
Если провалю задание, все больше ну буду беспокоить. (это не шутка!)
Arkalik вне форума  
Старый 10.11.2012, 13:58   #66 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

Аркалик:
вот тебе пример1
http://rghost.ru/41467659

а) определить тип заражения (можно указать несколько классификаций),
б) написать скрипт лечения в uVS
safety вне форума  
Старый 10.11.2012, 14:21   #67 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

Цитата:
Сообщение от safety Посмотреть сообщение
а) определить тип заражения (можно указать несколько классификаций),
Тип заражения Win32/LockScreen (Баннер)

Цитата:
Сообщение от safety Посмотреть сообщение
б) написать скрипт лечения в uVS
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\TEMP\0.5440544058037138.EXE
delall %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\TEMP\0.5440544058037138.EXE
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref HTTP://START.TICNO.COM
regt 12
deltmp
delnfr
restart
Arkalik вне форума  
Старый 10.11.2012, 14:24   #68 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

на lockscreen не похоже, как бы юзер смог создать образ автозапуска в нормальном режиме?

Boot: Normal
------
к скрипту замечаний нет, но желательно так же увидеть вариант скрипта с добавлением сигнатуры трояна.

+
дополнительно,
создать критерий поиска по данному трояну, чтобы подобный образец мог вылавливаться с помощью критерия.
текст критерия можно здесь опубликовать.

+
еще один образ проанализировать так же
тип заражения,
скрипт с использованием сигнатуры,
критерий поиска для детекта данного трояна.

образ здесь
http://rghost.ru/41468310

Последний раз редактировалось safety; 10.11.2012 в 14:36.
safety вне форума  
Старый 10.11.2012, 14:36   #69 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

Цитата:
Сообщение от safety Посмотреть сообщение
на lockscreen не похоже, как бы юзер смог создать образ автозапуска в нормальном режиме?
Название похоже на название баннеров

Цитата:
Сообщение от safety Посмотреть сообщение
к скрипту замечаний нет, но желательно так же увидеть вариант скрипта с добавлением сигнатуры трояна.
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

addsgn A7679B19B9528B77DDE4ECB172DB12054F8A96F6E3FA7578EF3CAFBCAFC3D5CC6117E252246DDF4995CF849F4650C2E7F4EDAA727CC7391E6F772FE1EE0BF144 8 Trojan.1
zoo %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\TEMP\0.5440544058037138.EXE
bl CC8E0CF1EB54C6C2AC319E4F3DB5945B 265728
delall %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\TEMP\0.5440544058037138.EXE
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref HTTP://START.TICNO.COM
regt 12
deltmp
delnfr
restart
Arkalik вне форума  
Старый 10.11.2012, 14:39   #70 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

а по способу запуска можешь привести как банеры (winlock) стартуют в системе?

по применению сигнатур - нет важных команд, которые работают с сигнатурами.

+
смотри выше еще один пример.
safety вне форума  
Старый 10.11.2012, 15:28   #71 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

Цитата:
Сообщение от safety Посмотреть сообщение
по применению сигнатур - нет важных команд, которые работают с сигнатурами.
Забыл в спешке, извиняюсь! Исправил:
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

addsgn A7679B19B9528B77DDE4ECB172DB12054F8A96F6E3FA7578EF3CAFBCAFC3D5CC6117E252246DDF4995CF849F4650C2E7F4EDAA727CC7391E6F772FE1EE0BF144 8 Trojan.1
zoo %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\TEMP\0.5440544058037138.EXE
bl CC8E0CF1EB54C6C2AC319E4F3DB5945B 265728
delall %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\TEMP\0.5440544058037138.EXE
chklst
delvir
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref HTTP://START.TICNO.COM
regt 12
deltmp
delnfr
czoo
restart
Цитата:
Сообщение от safety
а по способу запуска можешь привести как банеры (winlock) стартуют в системе?
В реестре заменяет значение ключей \\Winlogon\Shell - \\Winlogon\Userinit на свои. Например: ключ Shell при заражений содержит такой значение: C:\Documents and Settings\All Users\Application Data\22CC6C32.exe
------------------------------------------------------------------
второй пример, сейчас будет скрипт
Arkalik вне форума  
Старый 10.11.2012, 15:40   #72 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

ok, ждем скрипт по второму примеру, и про критериям неплохо бы ответить.
safety вне форума  
Ads
Старый 10.11.2012, 16:01   #73 (ссылка)
Эксперт
 
Аватар для Angel-iz-Ada
 
Регистрация: 06.11.2011
Сообщений: 8,232
Репутация: 864
Профиль в Twitter
По умолчанию

Вот еще 4 примера от меня - http://arvidos.ru/virus/
1. антивирус обнаруживает в памяти Spy.Voltar, а также не открываются сайты
2. не работает интернет. в браузере постоянно появляется адрес HTTP://WWW.ASK.COM?O=101
3. обнаруживается вирус Dorkbot, а также антивирус ругается на флад атаку
4. обнаруживается вирус Carberp

Только одна просьба - на время осмотра скриптов переименовать в папке с программой файл sgnz - то есть список сигнатур. Потому что я знаю что он у тебя не плохо заполнен. В первую очередь это нужно для тебя.
Angel-iz-Ada вне форума  
Старый 10.11.2012, 16:57   #74 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

Цитата:
Сообщение от Angel-iz-Ada Посмотреть сообщение
1. антивирус обнаруживает в памяти Spy.Voltar, а также не открываются сайты
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

addsgn 1A59609A55835B8CF42BFB3A8849FE2D268AFC55D9535D780CCE891512D6F8596BBE8157B748D9E069800DAA06BF0BFAF4E2D4DB17DAD6A0381F0D6DC760AE7E 8 Trojan.Winlock.6049 (DrWeb)
zoo %SystemDrive%\USERS\ПАНДИШКА\APPDATA\ROAMING\TASKHOST.EXE
bl EAA5383F76256F9925CE1303AB1CB9BC 126976
delall %SystemDrive%\USERS\ПАНДИШКА\APPDATA\ROAMING\TASKHOST.EXE
addsgn A7679BC9DE3744245C5FDBBDEFB50280D3FFF575B4A6DA68E9C32E9AD328733826943D564B773C95E190E81A866240AD2B8C17A2D01AC4207A21F7C720F8DD8C 64 Spy.Voltar
zoo %Sys32%\LTFSIJD.DLL
delref %Sys32%\LTFSIJD.DLL
chklst
delvir
delref HTTP://ALL-BEST.PRO
delref HTTP://SPEEDBAR.RU
regt 14
deltmp
delnfr
czoo
restart
Arkalik вне форума  
Старый 10.11.2012, 17:05   #75 (ссылка)
Эксперт
 
Аватар для Angel-iz-Ada
 
Регистрация: 06.11.2011
Сообщений: 8,232
Репутация: 864
Профиль в Twitter
По умолчанию

напиши пока все в одном сообщении по номерам просто. после этого каждый скрипт прокомментирую.
Angel-iz-Ada вне форума  
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Не запускается практически ни одна из программ. djabr3 Безопасность 11 20.12.2011 01:45
Перестали устанавливаться практически все игры AQUA46 Windows 7 1 15.06.2011 03:33
Ошибки практически во всех программах Gluk1 Windows Vista 1 20.03.2011 18:31
Практически не работает комп( хеелп KuBiK Неисправности, настройка 40 25.12.2009 23:36
Не устанавливаются практически ни одна игра fitil007 Железо 20 16.06.2009 16:42


Текущее время: 16:19. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.