Как начать практически использовать uVS

[Аркалык]

здесь имею ввиду, что reg22 не сработает на восстановление, поскольку по условию копия рееестра из Repair не сохранилась (а в Vista/Win7 ее там нет)... надо вручную прописать в команде скрипта восстановление ассоциации

Значить, надо вручную создать текстовый файл для восстановление ассоциации exe файлов и сохранить ее в .reg формате, и внесите изменение кликая на этот рег файл? Или я неправильно создаю скрипт в UVS и надо по другому создать скрипт?

 

[safety]

да, надо посмотреть описание neshta, где в реестре (в аасоциациях) прописан его запуск, и исправить на правильное значение с помощью EXEC cmd /c" reg......."

 

[Аркалык]

EXEC cmd /c" reg......."

Этот код создается автоматический (при помощи мышки) или надо вручную вписать в скрипт UVS? И еще походу у меня уже убитый вирус:

После активации вирус копирует свое тело в корневой каталог Windows под именем svchost.com:

%WinDir%\svchost.com

Данный файл имеет размер 41472 байта.

md5: BC93F4F527B58419EF42F19DB49F64A8
sha1: 2650A73B61577CFC0C0D80A7F38103D65388D808

А у меня:

Имя файла SVCHOST.COM
Размер 0 байт
SHA1 DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
MD5 D41D8CD98F00B204E9800998ECF8427E
Ссылки на объект
Ссылка HKLM\Software\Classes\exefile\shell\open\command\
NULL C:\WINDOWS\svchost.com "%1" %*

 

[safety]

возможно, он очищен антивирусом до 0байт, но все равно нарушает ассоциацию exe
-----------
отсюда надо плясать

Вирус изменяет значения следующего параметра ключа системного реестра:

[HKCR\exefile\shell\open\command]
"(default)" = "%WinDir%\svchost.com "%1" %*"

Таким образом, при запуске всех EXE-файлов в системе будет запускаться тело вируса %WinDir%\svchost.com с параметром равным имени программы, которую запускает пользователь.

http://www.securelist.com/ru/descriptions/30378987/Virus.Win32.Neshta.a

 

[Аркалык]

safety,

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

Сохраняет в виде .reg и пользуется.

 

[safety]

а в скрипте uVS как это реализовать?

 

[safety]

ПРИМЕР 5
----------------
образ здесь
http://rghost.ru/41621392

какие могут быть симптомы у пострадавшей системы, и как это лечится скриптом в uVS

 

[Аркалык]

safety, ПРИМЕР 5
Симптомы: Не работает меню Пуск

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 8D1FEAE1A62ADFEEFFF781113F61F21D 12800
zoo %SystemDrive%\PROGRAMDATA\CREATIVE\CREXVX.OCX
delall %SystemDrive%\PROGRAMDATA\CREATIVE\CREXVX.OCX
deltmp
delnfr
czoo
restart

Я удалил вирус, но еще нужно восстановить работоспособность ОС

 

[safety]

вообще то скрипт должен восстановить функциональность Пуск

 

[Аркалык]

safety, В тот раз был же тема, где использовалась уникальный код для удаление этого вируса. Точно не помню, либо был скрипт AVZ или UVS с исправлением реестра, после удаление вируса.

---------- Добавлено в 16:34 ---------- Предыдущее сообщение было написано в 16:27 ----------

Да вот нашел: http://pchelpforum.ru/showpost.php?p=953347&postcount=16

 

[safety]

это в том случае, если система была залечена, и следов crexv нет в системе, и нет нужных clsid в реестре, приходится их восстанавливать руками. а здесь в образе эти clsid-ы есть только в них прописаны не системные dll, а crevx

 

[Аркалык]

safety, Еще будут заданий?

 

[safety]

да, будут... еще 5 примеров от меня,

 

[safety]

ПРИМЕР. 6
образ скачать отсюда
http://rghost.ru/41644929
-----------
написать скрипт лечения данной системы.

 

[Аркалык]

ПРИМЕР. 6
написать скрипт лечения данной системы.

addsgn A7679BF0AA0208F24AD4C6711C891295412BFCF689FA4F1C0CE6C5BC50D6F2A05F449500B730757AF009D9632C14B6EF41CFA8720C59BD94AC36A4D0440BBAF2 8 a variant of Win32/Kryptik.ACMS (ESET)
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\PAZZO\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\7VK3UD9QZS.EXE
bl 22484A6A966D666DD733A7A7AA326242 117248
addsgn A7679B1BB9D24D720B132B1D9A37ED05258AFC310C16E1877AC3C5BC5011F430DDE83C333E559D8EAE687A60B91449FA7D18AD8A55DAB02CEAF214D138F92273 8 a variant of Win32/Kryptik.ACMS 1
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\PAZZO\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KGXC999QLN4.EXE
bl 49131E2CF121500B4FDB2D51AFE0A95E 317440
chklst
delvir
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\PAZZO\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZKHFHXQ2PBA.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\PAZZO\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZKHFHXQ2PBA.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\QPN7GI3.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\QPN7GI3.DLL
zoo %SystemRoot%\OKYYA.SYS
delref %SystemRoot%\OKYYA.SYS
delref COPY
delref HTTP://WWW.YAHOO.COM
delref HTTP://WWW.YANDEX.RU/?CLID=140504
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK_RFRMEDIAGET_MPCLN8746.EXE UNINSTALL
exec C:\PROGRAM FILES\TICNO\TABS\UNINSTALL.EXE
exec C:\PROGRAM FILES\TICNO\MULTIBAR\UNINSTALL.EXE
exec RUNDLL32.EXE C:\PROGRA~1\YAHOO!\COMPAN~1\INSTALLS\CPN\YCOMP5~1.DLL,DLLCOMMAND UI
exec MSIEXEC.EXE /I{FBFBBDD0-EC37-4152-BB77-7D54322AF953}
regt 14
regt 12
regt 18
deltmp
delnfr
czoo
restart

 

[safety]

после выполнения скрипта у юзера пропал доступ к сети. что делать?

 

[Аркалык]

safety, Пуск - Выполнить - Cmd - ipconfig /flushdns

 

[safety]

нет, не поможет. не было отравления кэша DNS

 

[Аркалык]

safety, Пуск - выполнить - cmd - netsh winsock reset

 

[safety]

ну, это уже похоже на правильный ответ