Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 37 38 39 40 41 ... 167 След.
Цитата
santy пишет:
посмотрю сегодня систему по методу поиска руткитов в uVS, может еще будут какие  то нюансы замечены.
по файлу сверки (полная проверка) отличий нет.
похоже,
тот случай Corkow (Win7), который мы обсуждали, когда троян не попадал в образ автозапуска.
http://forum.esetnod32.ru/forum6/topic4249/
до обновления uVS :)
Правильно заданный вопрос - это уже половина ответа
да, до версии 3.74.
Саш, хотел спросить у тебя - зачем во все скрипты для лечения добавляешь сигнатуры (именно в текст скрипта)? Даже если там обычный Carberp или Spy.Shiz. Иногда еще проверяешь добавляешь chklst - delvir. Смысла вроде как нету. И еще в любых случаях архивируешь вирусы которые еще с того года детектятся - думаю это лишняя работа как для пользователя, так и для ZloyDi с вирлабом
Правильно заданный вопрос - это уже половина ответа
Тут такое дело.
1. во первых чтобы сигнатуру добавить в свою базу, а значит, она автоматически попадает в скрипт,
поскольку у меня автоматом настроено: Addsgn + ZOO.
2. chklst&delvir не всегда можно применить, потому как иногда еще и delref идет для исключения файла из автозапуска.
3. сигнатура, возможно кому-то не помешает, поскольку RP55 внес рац. предложение : импорт сигнатур из скрипта.
4. иногда перестраховываешься:
и удаляешь двумя способами: через chklst&delvir (нужны сигнатуры) + dellall (по прямому пути)
(были непонятные случаи - когда при удалении по сигнатурам файл  выживал, а про прямому удалению - нет. удалялся.
--------
по архивированию - тут, да.... не додумал до конца, как сделать так чтобы не все файлы попадали в архив с ZOO.

дело в том, что при автоматическом детекте по сигнатурам у меня автоматическая реакция работает:
добавление в скрипт addsgn + ZOO. поэтому.
-------
для пользователя лишним никогда не будет дополнительно заархивировать папку (как полезное упражнение),
а для вирлаба - да, те файлы что детектируются не нужны.

Нужно еще раз обдумать и связать в предложение вариант, когда в список детектирования на VT входит и не входит детект NOD32.
Изменено: santy - 21.02.2012 12:15:28
Цитата
Арвид пишет:
Саш, хотел спросить у тебя - зачем во все скрипты для лечения добавляешь сигнатуры (именно в текст скрипта)? Даже если там обычный Carberp или Spy.Shiz. Иногда еще проверяешь добавляешь chklst - delvir. Смысла вроде как нету. И еще в любых случаях архивируешь вирусы которые еще с того года детектятся - думаю это лишняя работа как для пользователя, так и для  ZloyDi  с вирлабом
Арвид, а каким должен быть идеальный скрипт с твоей точки зрения?
и да, встречный тебе вопрос.
какой видишь смысл в лишении файла статуса исполняемого?
(может и "взбрыкнуться" из активной системы, если есть самозащита).
просто пару раз натыкался на случаи что файл не удалялся по нужной команде, потом попробовать лишить статуса - во всяком случае вирус не запустился
но думаю что это лишнее конечно, как и bl - все равно применится эта функция только после перезагрузки, так что одного delall достаточно, нам ведь надо файл сразу удалить, а не после ребута
Правильно заданный вопрос - это уже половина ответа
да,
это скорее всего команда нужна в каких то особых случаях... по моему она была до виртуализации введена. в автоматические реакции ее, имхо, не надо добавлять, а в особых случаях можно применять, если другие варианты избавления не помогают.
Пред. 1 ... 37 38 39 40 41 ... 167 След.
Читают тему