• Добро пожаловать на компьютерный форум Tehnari.ru. Здесь разбираемся с проблемами ПК и ноутбуков: Windows, драйверы, «железо», сборка и апгрейд, софт и безопасность. Форум работает много лет, сейчас он переехал на новый движок, но старые темы и аккаунты мы постарались сохранить максимально аккуратно.

    Форум не связан с магазинами и сервисами – мы ничего не продаём и не даём «рекламу под видом совета». Отвечают обычные участники и модераторы, которые следят за порядком и качеством подсказок.

    Если вы у нас впервые, загляните на страницу о форуме и правила – там коротко описано, как задать вопрос так, чтобы быстро получить ответ. Чтобы создавать темы и писать сообщения, сначала зарегистрируйтесь, а затем войдите под своим логином.

    Не знаете, с чего начать? Создайте тему с описанием проблемы – подскажем и при необходимости перенесём её в подходящий раздел.
    Задать вопрос Новые сообщения Как правильно спросить
    Если пришли по старой ссылке со старого Tehnari.ru – вы на нужном месте, просто продолжайте обсуждение.

Как начать практически использовать uVS

  • Автор темы Автор темы safety
  • Дата начала Дата начала
safety написал(а):
ПРИМЕР 7.
Нажмите для раскрытия...
Код: 
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 71D15A48176AB1F90E9F7AF3644DD27108C2B2B689770ACA5581C53522DAFA519EC78157B740FB9969800DC362FE8EFF300FAA727CC7B12CD25241EC8506A192 8 a variant of Win32/Kryptik.AHNW (ESET)
zoo %Sys32%\DNSEOPLAY.EXE
bl 5643BEFC1C0A316DCEADA3FD339D14A2 196096
chklst
delvir
regt 12
deltmp
delnfr
czoo
restart

Почему образ создан в виртуальный машина? :)
 
это тестовый пример.
это инфо тебе ни о чем не говорит?
Полное имя C:\WINDOWS\SYSTEM32\LOGONGWIN.EXE
Имя файла LOGONGWIN.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
_ЛИШНЕЕ В USERINIT (ССЫЛКА ~ USERINIT)(1) AND (ИМЯ ФАЙЛА !~ USERINIT.EXE)(1)

Сохраненная информация на момент создания образа
Статус ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 196096 байт
Создан 15.04.2008 в 05:00:00
Изменен 15.04.2008 в 05:00:00
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Тип запуска Неизвестный отладчик приложения(ий)
Файл Возможно защищенный файл

Статус ВИРУС
Сигнатура tr.0628 [глубина совпадения 16(21), необх. минимум 8, максимум 64]

Доп. информация на момент обновления списка
SHA1 729DD667CF995D7E5EBCF819A51516E8C927AD24
MD5 5643BEFC1C0A316DCEADA3FD339D14A2

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\Debugger
Нажмите для раскрытия...
как думаешь, что будет после удаления этого криптика?
 
как он может отсутствовать в образе, если посчитаны его хэши?
---------
сорри, не тот образ смотрел, В ТВОЕМ ПРИМЕРЕ
ВОТ ТАКАЯ ИНФО
Полное имя C:\WINDOWS\SYSTEM32\DNSEOPLAY.EXE
Имя файла DNSEOPLAY.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
_ЛИШНЕЕ В USERINIT (ССЫЛКА ~ USERINIT)(1) AND (ИМЯ ФАЙЛА !~ USERINIT.EXE)(1)

Сохраненная информация на момент создания образа
Статус ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 196096 байт
Создан 15.04.2008 в 05:00:00
Изменен 15.04.2008 в 05:00:00
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Тип запуска Неизвестный отладчик приложения(ий)
Файл Возможно защищенный файл

Статус ВИРУС
Сигнатура tr.0628 [глубина совпадения 16(21), необх. минимум 8, максимум 64]

Доп. информация на момент обновления списка
SHA1 729DD667CF995D7E5EBCF819A51516E8C927AD24
MD5 5643BEFC1C0A316DCEADA3FD339D14A2

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\Debugger
Нажмите для раскрытия...
 
safety, Да ни чье не будет, по умолчанию файл userinit.exe (для входа в систему) в реестре находится тут:
Код: 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="userinit.exe,"
А этот вирус создал копию userinit.exe. в разделе Image File Execution Options. Можно удалить весь раздел userinit.exe
А вирус обычный Winllocker-Баннер.
 
тогда подсказка тебе.
в логе выполнения твоего скрипта выходит сообщение

Завершение процессов...
C:\WINDOWS\SYSTEM32\DNSEOPLAY.EXE будет удален после перезагрузки
Запуск служб разблокирован
Изменено/удалено объектов автозапуска 1 из 1 | Удалено файлов: 0 из 1
Нажмите для раскрытия...
 
Arkalik написал(а):
safety, Да ни чье не будет, по умолчанию файл userinit.exe (для входа в систему) в реестре находится тут:
Код: 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="userinit.exe,"
А этот вирус создал копию userinit.exe. в разделе Image File Execution Options. Можно удалить весь раздел userinit.exe
А вирус обычный Winllocker-Баннер.
Нажмите для раскрытия...
здесь много неверных и неточных утверждений.
1. это не копия userinit.exe, это отладчик приложения.
Неизвестный отладчик приложения(ий)
Нажмите для раскрытия...

что именно будешь удалять? как будешь удалять? рабочий стол после выполнения скрипта не загружается.
Ктому же файл, оказывается с самозащитой
Файл Возможно защищенный файл
Нажмите для раскрытия...
, и uVS не удалось удалить его в активной системе... удаление отложено после перезагрузки.
---------
и это не винлокер, поскольку образ получен не из под live.CD, а из активной системы.
 
нет, в том и дело, что при перезагрузке файл будет удален (как указано в uVS).... но в этом и проблема. после этого рабочий стол не загружается.
-----------
здесь указано
Изменено/удалено объектов автозапуска 1 из 1 | Удалено файлов: 0 из 1
Нажмите для раскрытия...
что uVS изменил объект автозапуска, но файл не был удален, будет удален после перезагрузки...

так это надо понимать.
 
в какой скрипт? и как ты теперь будешь его выполнять... если нет доступа к рабочему столу.
 
safety написал(а):
и как ты теперь будешь его выполнять... если нет доступа к рабочему столу.
Нажмите для раскрытия...
Нажимаешь CTRL+ALT+DELETE для вызова диспетчера задач, в меню выбираете Файл - Новая задача (нажмите обзор, найдете start.exe) - Запуск. И выполняйте доп. такой скрипт в UVS (вирус удален, теперь нужно подправить реестр как я понял):
Код: 
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

regt 12
regt 16
regt 18
regt 20
regt 24
restart
 
не пойдет такое решение.
не факт что это сработает, потому что постоянно идет завершение сессии пользователя.
поскольку файл как указано с самозащитой, то и соответственно, он защищает свой ключ в реестре... uVS удалил, а файл, который остался жив до перезагрузки.... восстановил его.

после перезагрузки.... файл удален, и теперь к запуску юзеринит привязан запуск отладчика... которого нет. из за этого идет завершение сессии пользователя.
 
safety, Может надо делать скрипт в "Безопасном режиме"? Если это не поможет, тогда есть WinPe&uVS :)
 
в безопасном, возможно не поможет тот первый скрипт, из под winpe&uVS поможет.
но все таки.
сделай решение из активной системы.
 
safety, Удалить вирус заново через "Виртуализацию реестра"?
 
зачем спрашиваешь? у нас же не урок, а экзамен,

ты пишешь скрипты, мы пишем замечания, если они есть.
 
safety,
Код: 
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 71D15A48176AB1F90E9F7AF3644DD27108C2B2B689770ACA5581C53522DAFA519EC78157B740FB9969800DC362FE8EFF300FAA727CC7B12CD25241EC8506A192 8 a variant of Win32/Kryptik.AHNW (ESET)
zoo %Sys32%\DNSEOPLAY.EXE
deltmp
delnfr
czoo
sreg
delall %Sys32%\DNSEOPLAY.EXE
areg
 
Arkalik
Что мы удаляем этим скриптом ?
файл или ссылки ?
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

S
Как начать практически использовать Universal Virus Sniffer
Ответы
1
Просмотры
28K
Артём
Артём
Тёмыч
Мануал по BIOS, прошивка BIOS
3 4 5
Ответы
89
Просмотры
119K
prima
P
Назад
Сверху