Выбрать дату в календареВыбрать дату в календаре

Trojan.Winlock - 5416
[QUOTE]RP55 RP55 пишет:
Новинка.



Drweb

Trojan.Winlock.5729

news.drweb.com/?i=2286&c=5&lng=ru&p=0



Модификация файла iogonui.exe

iogonui.exe - представляет собой настоящий аутентичный файл  из комплекта поставки Windows XP, в котором с помощью редактора ресурсов была изменена стандартная строка приветствия Windows на требование отправить платное СМС-сообщение.



Особенность этой программы-вымогателя заключается в том, что она блокирует операционную систему, используя штатные средства Windows, путем изменения пароля локальных пользователей.[/QUOTE] А если просто изменить пароль с помощью подмены copy d:\windows\system32\cmd.exe d:\windows\system32\sethc.exe и вызова путем залипания командной строке на фоне этого баннера и далее ввести новый пароль net user имя_пользователя новый_пароль и тут же зайти под ним
Изменено: nWc - 12.04.2012 13:00:45
winsock reset catalog, RP55 RP55
За что отвечает команды " fixvbr C: 5 "  " fixvbr C: 6 ?
winsock reset catalog, RP55 RP55
А можно уточнить
1) exec cmd /k attrib -r -s -h "%appdata%\igfxtray.dat"&del "%appdata%\igfxtray.dat"&exit
2) exec cmd /k del "%windir%\system32\ieunitdrf.inf"&exit ( пример Арвида )

------------------------
3) EXEC cmd /c"netsh winsock reset catalog"  сброс сетевых настроек, зачастую кстати наблюдал каритку пинг есть, аська пашет, а доступ к сайтам нету, хотя ни прокси нету , да и host нормальный. Поможет ли решить эту ситуацию? Или если такое происходит это вирус и если и решит проблему то чисто теоретически на время? Или уже просто искать проблему в DNS? Или просто глюк винды обычно ?*
4) exec cmd /c "ipconfig /flushdns"    очистка кэша DNS

Почему необходимо удалять igfxtray.dat и ieunitdrf.inf? Разве это не драйвер от интеловских встроенных карт и информация о драйвере в *.inf?
Изменено: nWc - 12.04.2012 12:38:25
winsock reset catalog, RP55 RP55
№7

Удаление через [B]delall [/B]приводит в необходимости восстановить winsock.
можно еще попробовать вызвать в скрипте

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

EXEC cmd /c"netsh winsock reset catalog"
restart

----------------------------------------
exec cmd /k attrib -r -s -h "%appdata%\igfxtray.dat"&del "%appdata%\igfxtray.dat"&exit
exec cmd /k del "%windir%\system32\ieunitdrf.inf"&exit  ( пример Арвида )

------------------------
EXEC cmd /c"netsh winsock reset catalog"
exec cmd /c "ipconfig /flushdns"


===========
В каком случае необходимо это проводить? Когда по типу нету инета и надо востановить значение по умолчанию? Файлы igfxtray.dat ieunitdrf.inf относятся к carbery ?
Изменено: nWc - 12.04.2012 11:53:08
ошибка в игре AION
Может по делу=) Фрост также стоит на Айоне от 4game? Там ничего не сказано на форуме у них? помню конфликтовал с многими антивирусными продуктами, список большой там есть.
Изменено: nWc - 11.04.2012 17:02:02
поговорить о uVS, Carberp, планете Земля
[QUOTE]RP55 RP55 пишет:
[QUOTE]nWc пишет:

чудо[/QUOTE]

Это чудо "Delite" на Клавиатуре.

Выбрать > Нажать.

У меня уроки по uVS есть - Только мне их всё  лень  в PDF - оформить для наглядности.   [/QUOTE]
можно в любом виде, я не придирчивый :) Буду благодарен
Насче delete, к примеру  exec MSIEXEC.EXE /I{86D4B82A-ABED-442A-BE86-96357B70F4FE}

вот это откуда ?)  {86D4B82A-ABED-442A-BE86-96357B70F4FE}
Изменено: nWc - 11.04.2012 14:07:31
поговорить о uVS, Carberp, планете Земля
Смотрю, тока в силу неопытности пока тяжело понимать разные разновидности вирусов и методы борьбы. Зачастую вижу, что - постоянно удалются левые ссылки на qip, mail и агенты, qip guard, vsplayer , все toolbari, pretarian из за проблем с host. Не особо понял как в скрипте писать, чтобы удалить именно тот или иной продукт через exec в конце идет идентификатор программы в скобках, откуда сие чудо взять?

Есть же какой то алгоритм проверки ?
Изменено: nWc - 11.04.2012 14:03:30
поговорить о uVS, Carberp, планете Земля
(UVS)
Кстати , а есть где
Примеры написания скриптов для разных видов вирусов?
Примеры того как поступать в разных случаях?
ошибка в игре AION
бесплатного точно никакого=)
Сервер 2003 Тормазит, Нет в трее значка NOD32 но служба запущена., Сервер с лицензией, которая не работает, есть 100% уверенность что его ломали хакеры.
Оки=) с проблемой уже этой почти разобрались) К нему удаленно залезли, осталось rdp порт сменить и перекрыть доступ левым акк-там, которые были созданы для rdp подключения. Ну и пароль от админа сменить. Вот и все. А то смотрю аська и опера стоит на сервере  ( что уже бредово) судя по логам uvs =)

Осталось вирус найти)))))
Изменено: nWc - 06.04.2012 15:05:49