Как начать практически использовать uVS

[mike 1]

Почистить все ключи в реестре, которые оставили после себя вирусы/программы/утилиты , это может как-то вредить Операционной системе, кроме ускорение работы системы?

Получаем в итоге некий оптимизатор, который может навредить системе. Мне просто встречались случаи когда после таких оптимизаторов (tuneup, advanced systemcare и т.д.) возникали различные проблемы на компьютере. Этот я думаю не исключение поэтому я не использую эту команду.

 

[Аркалык]

mike 1, За столько лет использовании, это почти 3 года (если не больше), на 10 тысячи темах (если не больше) использование этой команды не вызывал никаких проблем у пользователей ПК. Думаю, по такой статистике уже самому можно сделать вывод.

 

[mike 1]

Arkalik, есть некоторая информация что после использования команды delnfr здесь http://www.cyberforum.ru/viruses/thread518191.html слетела тема Windows 7.

 

[safety]

mike_1, у тебя же большой опыт хелпера, пора уже делать выводы на основе своего опыта, а не единичных случаев, полученных кем то, когда- то, в единичных случаях, при каких-то условиях.

 

[Аркалык]

mike 1, Там все запутана, до выполнение скрипта был запущен Комбофикс, который мог запросто разрушить работу системы, что и было сделано. Еще, со стороны выглядит глупо использование Комбофикс, против Adware-программ. Не понятно, зачем использовалась код "sfcall"? Никаких фактов нету, что, именно после выполнении скрипта такая проблема, это всего-лишь догадки. Если бы во всех системах Windows 7, после выполнении скрипта "delnfr" были бы такие проблемы, тогда можно обвинять в этом программу.

 

[mike 1]

mike_1, у тебя же большой опыт хелпера, пора уже делать выводы на основе своего опыта, а не единичных случаев, полученных кем то, когда- то, в единичных случаях, при каких-то условиях.

Команду эту я в основном не использую по причине 241 сообщения.

Никаких фактов нету, что, именно после выполнении скрипта такая проблема, это всего-лишь догадки.

Там пользователь отписался.

Кстати, после одного из рекомендованных вами действий (вроде, после выполнения последнего скрипта с отправкой карантина и перезагрузки компа) в Вин-7 слетела установленная тема и теперь система выглядит как Вин-98. Попытка применить любую тему из стандартного набора меняет только фон рабочего стола, а окна, Пуск и иконки остаются прежними, старыми. Это не критично и даже не важно, просто на заметку.

 

[Аркалык]

mike 1, Можно долго спорить по этому поводу

 

[safety]

Команду эту я в основном не использую по причине 241 сообщения.

а ты попробуй ее использовать, а если будут ошибки, тогда и делай выводы.

 

[Vvvyg]

mike 1, чтобы не бояться delnfr - есть опция в settings.ini, специально у автора выпросил в своё время:

---------------------------------------------------------
3.80.1
---------------------------------------------------------
o Новый параметр в settings.ini
[Settings]
; Флаг управляет разверткой команды delnfr в последовательность delref
; при работе с образом.
ImgDelnfrUnwind (0 по умолчанию)

Смотрим сырой скрипт после применения delnfr и убеждаемся, что ничего полезного не снесено.
А польза от него например в ситуациях, когда используем deldir для удаления папки с adware каким-нибудь, последующее применение delnf rвычищает значительную часть ссылок в реестре на всяческие dll и другие компоненты зловреда. Только delall сперва не забыть, если .exe, запускаемый из удаляемой папки, активен.

 

[safety]

угу, deldir &delnfr стало возможно после этой доработки...

o Модифицирована команда delnfr, перед ее исполнением теперь всегда
вызывается функция обновления списка, что повысит безопасность исполнения
данной команды.

 

[mike 1]

Выполните скрипт в AVZ:

begin
 ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\Tema\appdata\roaming\searchindexer\moduleinno.exe','not-a-virus:RiskTool.Win32.BitCoinMiner.fqs');
 DeleteFile('C:\Users\Tema\appdata\roaming\searchindexer\moduleinno.exe','32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteFileMask('C:\Users\Tema\appdata\roaming\searchindexer', '*', true, ' ');
 DeleteDirectory('C:\Users\Tema\appdata\roaming\searchindexer');          
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.

http://pchelpforum.ru/f26/t138393/

 

[safety]

mike_1, в автозапуске этой штуки нет, просто валяется без дела, зачистится сканером

 

[mike 1]

Мое мнение по команде delnfr не изменилось. Какое-то время я ее использовал и вот он результат http://virusinfo.info/showthread.php?t=162471. Команду больше использовать не буду чего и другим желаю.

---------- Добавлено в 03:20 ---------- Предыдущее сообщение было написано в 03:10 ----------

mike_1, в автозапуске этой штуки нет, просто валяется без дела, зачистится сканером

А мне в свое время штрафные пени начисляли за это на SZ. Папку одну не зачистил и повесили пеню

 

[safety]

mike 1,
по поводу штрафных пени на SZ - как говорится, чужой монастырь, поэтому не обсуждаю,

а вот по теме на ВИ: то проблема, скорее всего, возникла в связи с необдуманным использованием команды clrmd

поскольку копия реестра скриптом была создана, то пробуйте восстановить реестр (или ключ реестра из созданной копии)

(судя по сообщению о переустановке системы, ситуация уже необратима.)

причем, это уже обсуждалось на ВирусИнфо. и на Антималваре. Если диск разбит на несколько дисков, то возможно что эта команда поменяла буквы логических разделов.

o Добавлен новый пункт меню "Реестр->[HKLM] Очистить System\MountedDevices"
Скриптовая команда "clrmd".
Функция предназначена для исправления проблем возникших из-за переноса системы на другой носитель.

-------------
необходимости в применении данной команды не было в вашей ситуации

Изменение буквы системного или загрузочного диска в Windows
http://support.microsoft.com/kb/223188/ru

Предупреждение. Не используйте данную методику для изменения букв дисков, назначенных операционной системой — это может привести к тому, что операционная система перестанет загружаться. Рассмотренная методика предназначена только для восстановления работоспособности после изменения букв дисков. Перед выполнением описанных ниже действий создайте резервную копию системного реестра.

------------

;uVS v3.82.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
breg

............
............
clrmd
chklst
delvir

deltmp
delnfr
restart

 

[safety]

здесь достаточно такого скрипта / hide добавляю по привычке, если попадают файлы под ложное срабатывание /

;uVS v3.82.8 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.URL
addsgn 1A166C9A5583528CF42B254E3143FE84C95AFEF6895B1F7AC4C3F679D9938DC5A6F73EA8C1DC1095D67F7B16D3CEB405825675A6A8254FA598A759D0388F9FBF 8 Win32/Kryptik.CFKQ [ESET-NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АЛСУ\LOCAL SETTINGS\TEMP\FSDGS.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АЛСУ\LOCAL SETTINGS\TEMP\ADOBE\READER_SL.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC38506CA82 59 Win32/CoinMiner.RZ [ESET-NOD32]
delall C:\RECYCLER\MSCINET.EXE
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\CREATIVEAUDIO\SPDWZNJXT.EXE
addsgn 1A7F119A5583C58CF42B831567C81271070914F2FDED9C9088B7C9F424D5428CE0AFC7533E555EF13984849F85AE4DF27DDF2BCA44DEB02CEEFC5B79908DD21B 8 Trojan:Win32/Neurevt.A

zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\CREATIVEAUDIO\IFBXQLLFF.EXE
addsgn 1AC86F9A5583528CF42B254E3143FE84C9A2FFF68959FF54C7C34CB18CFA334CAA021B7B7C551454FFACC69FCF2399D63FDF614F99F6F22C4BFBB1D7EB442215 8 Win32/Neurevt.B [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\CREATIVEAUDIO\IJIUJSNJB.EXE
addsgn 1AAE129A5583528CF42B627DA804DEC9A5F0F2F3FCEB79F3189F3A43AF56BE4EA3F03DE401BE992F90BF97F9CF8B1705822031DF0B254FD3965BFF6EC7DFC7FA 8 Win32/Injector.BGYS [ESET-NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИН\APPLICATION DATA\10.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИН\APPLICATION DATA\16.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИН\APPLICATION DATA\C731200

hide C:\PROGRAM FILES\WEBMONEY\WEBMONEY.EXE
hide %SystemDrive%\PROGRAM FILES\UBISOFT\UBISOFT GAME LAUNCHER\UNINSTALL.EXE
hide %SystemDrive%\PROGRAM FILES\ANVIR TASK MANAGER\ANVIR.EXE

;------------------------autoscript---------------------------

chklst
delvir

; McAfee Security Scan Plus
exec E:\Program Files\McAfee Security Scan\uninstall.exe

; Java(TM) 6 Update 22
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} /quiet

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

 

[mike 1]

поскольку копия реестра скриптом была создана, то пробуйте восстановить реестр (или ключ реестра из созданной копии)

(судя по сообщению о переустановке системы, ситуация уже необратима.)

Да я знаю, но тут уже поздно пить боржоми. Систему он уже переустановил.

причем, это уже обсуждалось на ВирусИнфо. и на Антималваре. Если диск разбит на несколько дисков, то возможно что эта команда поменяла буквы логических разделов.

Вот этого я не знал. Но теперь буду аккуратней. А вообще я почему-то сначала грешил на delnfr.

 

[safety]

а какой смысл был в добавлении команды clrmd? Эту команду ошибочно связывают с очисткой ключей MountPoints & MountPoints 2...

 

[mike 1]

Эту команду ошибочно связывают с очисткой ключей MountPoints & MountPoints 2

Вот я и попался на эту удочку.

а какой смысл был в добавлении команды clrmd?

Хотел очистить ключи MountPoints & MountPoints 2. Червь там авторановский был.

 

[safety]

там ссылки будут автоматически удалены при удалении червя. не надо дополнительных команд.
признаюсь, что я так же изначально понял clrmd как "очистить ключи MountPoints & MountPoints 2", хотя не успел сам наделать таких ошибок.

 

[Люсико]

safety, сорри за оффтоп..Но не получается скачать актуальную версию uVS v 3.85, хром блокирует файл,как вредоносный..