-
Добро пожаловать на компьютерный форум Tehnari.ru. Здесь разбираемся с проблемами ПК и ноутбуков: Windows, драйверы, «железо», сборка и апгрейд, софт и безопасность. Форум работает много лет, сейчас он переехал на новый движок, но старые темы и аккаунты мы постарались сохранить максимально аккуратно.
Форум не связан с магазинами и сервисами – мы ничего не продаём и не даём «рекламу под видом совета». Отвечают обычные участники и модераторы, которые следят за порядком и качеством подсказок.
Если вы у нас впервые, загляните на страницу о форуме и правила – там коротко описано, как задать вопрос так, чтобы быстро получить ответ. Чтобы создавать темы и писать сообщения, сначала зарегистрируйтесь, а затем войдите под своим логином.
Не знаете, с чего начать? Создайте тему с описанием проблемы – подскажем и при необходимости перенесём её в подходящий раздел.Задать вопрос Новые сообщения Как правильно спроситьЕсли пришли по старой ссылке со старого Tehnari.ru – вы на нужном месте, просто продолжайте обсуждение.
Как начать практически использовать uVS
- Автор темы safety
- Дата начала
здесь можно посмотреть
http://www.kompasnet.org/showthread.php?t=3471
----------
да, похоже подмена определения CLSID
должно быть так (это в своей системе смотрел. XP SP3)
должно быть прописано
ветка реестра
http://www.kompasnet.org/showthread.php?t=3471
----------
да, похоже подмена определения CLSID
должно быть так (это в своей системе смотрел. XP SP3)
должно быть прописано
ветка реестра
Уважаемые специалисты раздела "Б"! Реально мне надоел, смотреть на ваши логи. Хочу испытать себя в настоящей войне, в поле боя против вирусов. Чтобы принять меня в ваш отряд, дайте мне несколько заложников для испытаний, например таких:
Простые логи 1 - Простые логи 2:
Средние логи 1 и т.д
Если провалю задание, все больше ну буду беспокоить.
(это не шутка!)
Простые логи 1 - Простые логи 2:
Средние логи 1 и т.д
Если провалю задание, все больше ну буду беспокоить.
(это не шутка!)Аркалик:
вот тебе пример1
http://rghost.ru/41467659
а) определить тип заражения (можно указать несколько классификаций),
б) написать скрипт лечения в uVS
вот тебе пример1
http://rghost.ru/41467659
а) определить тип заражения (можно указать несколько классификаций),
б) написать скрипт лечения в uVS
Тип заражения Win32/LockScreen (Баннер)
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
zoo %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\TEMP\0.5440544058037138.EXE
delall %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\TEMP\0.5440544058037138.EXE
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref HTTP://START.TICNO.COM
regt 12
deltmp
delnfr
restartна lockscreen не похоже, как бы юзер смог создать образ автозапуска в нормальном режиме?
Boot: Normal
------
к скрипту замечаний нет, но желательно так же увидеть вариант скрипта с добавлением сигнатуры трояна.
+
дополнительно,
создать критерий поиска по данному трояну, чтобы подобный образец мог вылавливаться с помощью критерия.
текст критерия можно здесь опубликовать.
+
еще один образ проанализировать так же
тип заражения,
скрипт с использованием сигнатуры,
критерий поиска для детекта данного трояна.
образ здесь
http://rghost.ru/41468310
Boot: Normal
------
к скрипту замечаний нет, но желательно так же увидеть вариант скрипта с добавлением сигнатуры трояна.
+
дополнительно,
создать критерий поиска по данному трояну, чтобы подобный образец мог вылавливаться с помощью критерия.
текст критерия можно здесь опубликовать.
+
еще один образ проанализировать так же
тип заражения,
скрипт с использованием сигнатуры,
критерий поиска для детекта данного трояна.
образ здесь
http://rghost.ru/41468310
Название похоже на название баннеров
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
addsgn A7679B19B9528B77DDE4ECB172DB12054F8A96F6E3FA7578EF3CAFBCAFC3D5CC6117E252246DDF4995CF849F4650C2E7F4EDAA727CC7391E6F772FE1EE0BF144 8 Trojan.1
zoo %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\TEMP\0.5440544058037138.EXE
bl CC8E0CF1EB54C6C2AC319E4F3DB5945B 265728
delall %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\TEMP\0.5440544058037138.EXE
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref HTTP://START.TICNO.COM
regt 12
deltmp
delnfr
restartЗабыл в спешке, извиняюсь! Исправил:
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
addsgn A7679B19B9528B77DDE4ECB172DB12054F8A96F6E3FA7578EF3CAFBCAFC3D5CC6117E252246DDF4995CF849F4650C2E7F4EDAA727CC7391E6F772FE1EE0BF144 8 Trojan.1
zoo %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\TEMP\0.5440544058037138.EXE
bl CC8E0CF1EB54C6C2AC319E4F3DB5945B 265728
delall %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\TEMP\0.5440544058037138.EXE
[B]chklst
delvir[/B]
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref HTTP://START.TICNO.COM
regt 12
deltmp
delnfr
[B]czoo[/B]
restartВ реестре заменяет значение ключей \\Winlogon\Shell - \\Winlogon\Userinit на свои. Например: ключ Shell при заражений содержит такой значение: C:\Documents and Settings\All Users\Application Data\22CC6C32.exesafety написал(а):
------------------------------------------------------------------
второй пример, сейчас будет скрипт
Angel-iz-Ada
Новые
- Регистрация
- 6 Ноя 2011
- Сообщения
- 8,170
- Реакции
- 0
- Баллы
- 0
Вот еще 4 примера от меня - http://arvidos.ru/virus/
1. антивирус обнаруживает в памяти Spy.Voltar, а также не открываются сайты
2. не работает интернет. в браузере постоянно появляется адрес HTTP://WWW.ASK.COM?O=101
3. обнаруживается вирус Dorkbot, а также антивирус ругается на флад атаку
4. обнаруживается вирус Carberp
Только одна просьба - на время осмотра скриптов переименовать в папке с программой файл sgnz - то есть список сигнатур. Потому что я знаю что он у тебя не плохо заполнен. В первую очередь это нужно для тебя.
1. антивирус обнаруживает в памяти Spy.Voltar, а также не открываются сайты
2. не работает интернет. в браузере постоянно появляется адрес HTTP://WWW.ASK.COM?O=101
3. обнаруживается вирус Dorkbot, а также антивирус ругается на флад атаку
4. обнаруживается вирус Carberp
Только одна просьба - на время осмотра скриптов переименовать в папке с программой файл sgnz - то есть список сигнатур. Потому что я знаю что он у тебя не плохо заполнен. В первую очередь это нужно для тебя.
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
addsgn 1A59609A55835B8CF42BFB3A8849FE2D268AFC55D9535D780CCE891512D6F8596BBE8157B748D9E069800DAA06BF0BFAF4E2D4DB17DAD6A0381F0D6DC760AE7E 8 Trojan.Winlock.6049 (DrWeb)
zoo %SystemDrive%\USERS\ПАНДИШКА\APPDATA\ROAMING\TASKHOST.EXE
bl EAA5383F76256F9925CE1303AB1CB9BC 126976
delall %SystemDrive%\USERS\ПАНДИШКА\APPDATA\ROAMING\TASKHOST.EXE
addsgn A7679BC9DE3744245C5FDBBDEFB50280D3FFF575B4A6DA68E9C32E9AD328733826943D564B773C95E190E81A866240AD2B8C17A2D01AC4207A21F7C720F8DD8C 64 Spy.Voltar
zoo %Sys32%\LTFSIJD.DLL
delref %Sys32%\LTFSIJD.DLL
chklst
delvir
delref HTTP://ALL-BEST.PRO
delref HTTP://SPEEDBAR.RU
regt 14
deltmp
delnfr
czoo
restartAngel-iz-Ada
Новые
- Регистрация
- 6 Ноя 2011
- Сообщения
- 8,170
- Реакции
- 0
- Баллы
- 0
напиши пока все в одном сообщении по номерам просто. после этого каждый скрипт прокомментирую.
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK_RFRLETITBIT2_S_MPCLN9514.EXE UNINSTALL
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
delref HTTP://WWW.ASK.COM?O=10148&L=DIS&TB=CLM
delref HTTP://WWW.MAIL.RU/CNT/5089
setdns Беспроводное сетевое соединение 2\4\{BD1269B2-0A84-4694-926A-94B66F7E862B}\
setdns Беспроводное сетевое соединение\4\{1A0460C7-19F3-431A-A08F-E7E49947C64C}\
setdns Подключение по локальной сети 2\4\{59D6514D-7146-4E9C-9FC2-351B98C7FFE8}\
setdns Подключение по локальной сети\4\{E5093161-6BF4-4FAC-9701-035BD75AD76F}\
deltmp
delnfr
restart
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
addsgn A7679BF0AA02A4CA4FD4C69BC88C1261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CA2C89BE82BD6D77C3B68775BACCAD63536 8 Win32.Agent.QTP (VBA)
bl 685FFCD7C90059DDD988373A09780BF0 368640
delall %SystemRoot%\TEMP\MRT5679.TMP\STDRT.EXE
addsgn 9ADC4BDA5582BC8DF42BAEB164C81205158AFCF6B1FA1F7885C3C5BC51D84B803BB4521280AF5EF4F8AE3D79461649FA7DDFE97255DA9D6F1D4794028A7F7107 8 Win32/Dorkbot.A (Eset)
bl 26059AFF560F8D2C3A40C2E8E9F3712E 135168
delall %SystemDrive%\USERS\ЙОРШЪЪ\APPDATA\ROAMING\UMVYVS.EXE
addsgn 9252779A146AC1CC0BC4514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 8 Win32/Dorkbot.B
bl 84D569BADC7BFCF6D430C0C4B7614053 96256
delall %SystemDrive%\USERS\ЙОРШЪЪ\APPDATA\ROAMING\WLVYVU.EXE
chklst
delvir
deltmp
delnfr
restart
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn 79132211B9EBA00608D4AE3A695C1244250179DE7605E0F1081F3943AFFDB077A6F73FA8C121DFC23EA884DE46158877F599047255532534D3885B148AA2565A 8 Win32/TrojanDownloader.Carberp.W (ESET)
bl FB7682419DB74492637FE96258280A19 165376
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
chklst
delvir
delref HTTP://WWW.CHIPXP.RU/
delref HTTP://SOUNDTRACKI.INFO/
deltmp
delnfr
restartAngel-iz-Ada
Новые
- Регистрация
- 6 Ноя 2011
- Сообщения
- 8,170
- Реакции
- 0
- Баллы
- 0
По первому:
1. одному вирусу запрещаешь запуск через bl, а второму нет. не принципиально конечно, но все же желательно всех блокировать.
2. добавляешь сигнатуру для маячка, а потом проверяешь список и удаляешь все вирусы - ты не в курсе что uVS перед удалением вируса хочет завершить все процессы в которые он внедрен? в данном случае после выполнения команды delvir - система уйдет в синяк и скрипт до конца не выполнится. то есть сигнатуру для маячка не нужно добавлять. ну или можешь ее добавить после выполнения команды delvir.
3. зачем очищаешь hosts файл? там ничего вирусного нет. просто блокировка Адоб серверов чтоб рега не слетала сам знаешь на что.
---------- Добавлено в 14:56 ---------- Предыдущее сообщение было написано в 14:55 ----------
по второму претензий нет
---------- Добавлено в 15:08 ---------- Предыдущее сообщение было написано в 14:56 ----------
По третьему:
1. не хватает команды adddir %SystemDrive%\USERS\ЙОРШЪЪ\APPDATA\ROAMING перед chklst delvir чтоб программа прошлась по этому каталогу и на основе своих сигнатур нашла все вирусы и удалила их
2. можно было бы еще снести GUARDMAILRU
---------- Добавлено в 15:10 ---------- Предыдущее сообщение было написано в 15:08 ----------
По четвертому :
1. из автозагрузки вирус успешно удален, но антивирус все еще ругается на его присутствие в памяти. лечи дальше.
1. одному вирусу запрещаешь запуск через bl, а второму нет. не принципиально конечно, но все же желательно всех блокировать.
2. добавляешь сигнатуру для маячка, а потом проверяешь список и удаляешь все вирусы - ты не в курсе что uVS перед удалением вируса хочет завершить все процессы в которые он внедрен? в данном случае после выполнения команды delvir - система уйдет в синяк и скрипт до конца не выполнится. то есть сигнатуру для маячка не нужно добавлять. ну или можешь ее добавить после выполнения команды delvir.
3. зачем очищаешь hosts файл? там ничего вирусного нет. просто блокировка Адоб серверов чтоб рега не слетала сам знаешь на что.
---------- Добавлено в 14:56 ---------- Предыдущее сообщение было написано в 14:55 ----------
по второму претензий нет
---------- Добавлено в 15:08 ---------- Предыдущее сообщение было написано в 14:56 ----------
По третьему:
1. не хватает команды adddir %SystemDrive%\USERS\ЙОРШЪЪ\APPDATA\ROAMING перед chklst delvir чтоб программа прошлась по этому каталогу и на основе своих сигнатур нашла все вирусы и удалила их
2. можно было бы еще снести GUARDMAILRU
---------- Добавлено в 15:10 ---------- Предыдущее сообщение было написано в 15:08 ----------
По четвертому :
1. из автозагрузки вирус успешно удален, но антивирус все еще ругается на его присутствие в памяти. лечи дальше.
Слишком много заданий сразу, заблудился
Столько раз видел что файлов dll и sys нельзя удалять. Но тут, как тут. Исправленный:
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
addsgn 1A59609A55835B8CF42BFB3A8849FE2D268AFC55D9535D780CCE891512D6F8596BBE8157B748D9E069800DAA06BF0BFAF4E2D4DB17DAD6A0381F0D6DC760AE7E 8 Trojan.Winlock.6049 (DrWeb)
zoo %SystemDrive%\USERS\ПАНДИШКА\APPDATA\ROAMING\TASKHOST.EXE
bl EAA5383F76256F9925CE1303AB1CB9BC 126976
delall %SystemDrive%\USERS\ПАНДИШКА\APPDATA\ROAMING\TASKHOST.EXE
chklst
delvir
delref %Sys32%\LTFSIJD.DLL
delref HTTP://ALL-BEST.PRO
delref HTTP://SPEEDBAR.RU
deltmp
delnfr
czoo
restartAngel-iz-Ada
Новые
- Регистрация
- 6 Ноя 2011
- Сообщения
- 8,170
- Реакции
- 0
- Баллы
- 0
И еще - если ты знаешь что вирус не копирует себя по папкам (как Dorkbot например и некоторые другие), а лежит только в определенной папке (по типу Spy.Shiz, Spy.Voltar, Carberp), то и смысла в принципе нет добавлять сигнатуру в скрипт и затем проверять список\удалять вирусы командной. Себе в базу занеси, но из скрипта эти команды можно убрать.
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
addsgn A7679BF0AA02A4CA4FD4C69BC88C1261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CA2C89BE82BD6D77C3B68775BACCAD63536 8 Win32.Agent.QTP (VBA)
bl 685FFCD7C90059DDD988373A09780BF0 368640
delall %SystemRoot%\TEMP\MRT5679.TMP\STDRT.EXE
addsgn 9ADC4BDA5582BC8DF42BAEB164C81205158AFCF6B1FA1F7885C3C5BC51D84B803BB4521280AF5EF4F8AE3D79461649FA7DDFE97255DA9D6F1D4794028A7F7107 8 Win32/Dorkbot.A (Eset)
bl 26059AFF560F8D2C3A40C2E8E9F3712E 135168
delall %SystemDrive%\USERS\ЙОРШЪЪ\APPDATA\ROAMING\UMVYVS.EXE
addsgn 9252779A146AC1CC0BC4514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 8 Win32/Dorkbot.B
bl 84D569BADC7BFCF6D430C0C4B7614053 96256
delall %SystemDrive%\USERS\ЙОРШЪЪ\APPDATA\ROAMING\WLVYVU.EXE
adddir %SystemDrive%\USERS\ЙОРШЪЪ\APPDATA\ROAMING
chklst
delvir
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE UNINSTALL
exec MSIEXEC.EXE /I{FBFBBDD0-EC37-4152-BB77-7D54322AF953}
exec C:\PROGRAM FILES\DAEMON TOOLS TOOLBAR\UNINST.EXE
deltmp
delnfr
restart
