Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

поговорить о uVS, Carberp, планете Земля

RSS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.11.2011 19:06:42
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 44 45 46 47 48 ... 167 След.
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 02.03.2012 06:00:01
да уже понятно что нельзя :)
проведи эксперимент как я сделал - создай любой файл и попробуй его удалить через скрипт в uVS:
Цитата
delall %sys32%\1.txt - работает на х32 системах. На х64 не удаляет ничего.
delall %appdata%\1.txt - нигде ничего не удаляет
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.03.2012 06:18:42
нет возможности на 64разрядных машинах поэкспериментировать,
остальное только вечером.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.03.2012 18:36:45
Цитата
Арвид пишет:
delall %appdata%\1.txt - нигде ничего не удаляет
%appdata% - нет такой в списке переменных uVS
Цитата
============================================================­=
Допустимые сокращения параметра "файл".
-------------------------------------------------------------
%SYS32%       = подкаталог SYSTEM32 проверяемой системы
%SYSTEMROOT%  = каталог проверяемой системы
%SYSTEMDRIVE% = имя диска где расположена система
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 02.03.2012 18:39:56
но почему тогда не работает переменная %appdata% если использовать ее через exec? я ведь стороннее приложение получается запускаю, а не использую переменную внутри uVS
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.03.2012 18:47:07
EXEC запускает сторонние приложения, но не факт, что в ее контексте должны быть доступны переменные окружения среды Windows.
возможно, эта переменная (%appdata%) работает в контексте cmd как переменная окружения среды Windows, здесь я не в курсе. ЛУчше уточнить у разработчика.
Изменено: santy - 02.03.2012 18:50:38
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.03.2012 20:02:32
любопытно было бы решить проблему с помощью uVS. :).
http://safezone.cc/forum/showthread.php?p=106092#post106092
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 03.03.2012 20:06:15
ппц геморойщики :D
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.03.2012 20:54:28
скорее всего, бутовый вариант Carberp с защитой от перезаписи из активной системы.
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 03.03.2012 21:31:40
варианты Carberp которые не попадают в образ  uVS - видятся в AVZ - только я тот лог и не думал смотреть, теперь видимо придется
http://www.adminplanet.ru/t6507.html
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.03.2012 22:11:19
по разному бывает.
может попасть в повторный образ, из тех тем, в которых не было детекта в первом образе я высылал файлики Кузнецову Дмитрию,
у него попали в образ и в XP, и на Win7.
Изменено: santy - 03.03.2012 22:11:48
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 44 45 46 47 48 ... 167 След.
Читают тему