Перейти к содержанию

Recommended Posts

PR55.RP55
Цитата

При работе с повреждённой системой, когда код активации не известен и требуется переустановка Win.

1. если система легальная - код будет на наклейке

2. если левак - то нет смысла искать код, 99% "зверсиди" и прочих уже "вылечены" и не требуют кода

По первому пункту: Если, есть 10 машин и 10 установочных дисков с кодами на наклейке.

И скажем так получилось, что неизвестно какой именно код использован на безвременно погибшей системе.

Проще проверить 1-ну систему, чем проверять/сверять коды на всех 10.

*Всякое может быть...

По второму пункту согласен.

* И всё же данная опция может быть полезна...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
2,3 -не понял...у меня работает на ура.Ты ничего не путаешь?

на VT ясно указано 20 запросов на 5 минут... или наоборот (VT щас в дауне не могу ткнуть в ссылку) с использованием API, а все что свыше 20... может будет ответ, а может и нет. Хохмодав возможно как раз и использует ключ/логин от vtuploader-а. вместе с упертым кодом, а на него могут быть совсем другие ограничения.

По первому пункту: Если, есть 10 машин и 10 установочных дисков с кодами на наклейке.

Наклейка должна быть на корпусе компьютера, если она в любом другом месте то ни о какой лицензии и речи нет... конечно это верно для OEM версии. Для коробочной хз, в руках это чудо ни разу не держал. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107
Пример такого скрипта в студию, тогда починю.

Вот скрипт при исполнении Ошибка типа команды несоответствуют командам скриптового языка - файл прилагаю:

sss.txt

sss.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Angel107

Ок, исправлю в v3.68 :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

есть такая возможность в текущей версии 3.67 с помощью твика восстановить нормальные атрибуты юзерских папок на съемных носителях? часто приходят и плачуть, что не могут фото любимые увидеть после атаки вируса.

если нет еще, то сделайте, плиз, в новой версии 3.68 такое чудо. :).

---

так понимаю что рег 10 включает просмотр скрытых файлов, но без изменения атрибута на нормальный,

а рег 3 открывает доступ в свойства папки, чтобы там можно было что-то поменять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

santy

подумаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Встретил пример совместного применения uVS & AVZ

Кто, что скажет по этому примеру ?

://pchelpforum.ru/f26/t64080/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Тандем носорога и трепетной лани :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
omnilynx13
пример совместного применения uVS & AVZ

хороший пример, по крайней мере я обычно так и делаю. uVS убиваем всё что можно убить, AVZ на добивание зверей. Хотя в моей небольшой практики ещё не было зловредов которые бы после uVS оставались живы (еже ли всё делать правильно). А твиками uVS и AVZ восстанавливаю всё что можно.

Тандем носорога и трепетной лани

тогда уж тандем медведя и тигра.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
я обычно так и делаю. uVS убиваем всё что можно убить, AVZ на добивание зверей. Хотя в моей небольшой практики ещё не было зловредов которые бы после uVS оставались живы (еже ли всё делать правильно). А твиками uVS и AVZ восстанавливаю всё что можно.

Получается, что или вы ещё не привыкли полностью доверять uVS или же вам не хватает функционала программы...

Если - это так, чего именно вам не хватает в uVS из того, что есть в AVZ. ?

-------------------------------------------------------------------------------------------------

И как обычно...

Предложение:

Добавить в uVS команду на создание Ярлыка.

После удаления программы часто остаются мусорные файлы в папке установки.

В ряде случае это сотни mb.

Соответственно требуется их удаление.

И желательно, чтобы пользователь сам имел возможность для принятия решения.

Предлагаю, добавить возможность создания Ярлыка для Любой программы или папки.

Подобрать для ярлыка данного типа Соответствующий значоК...

Сам ярлык помещать на рабочий стол.

И присваивать ярлыку имя Папки " Для удаления AVIRA PLAYER"

;uVS v3.67 script [http://dsrt.dyndns.org]

uidel C:\PROGRAM FILES\AVIRA PLAYER\UNINST.EXE

addition tag C:\PROGRAM FILES\AVIRA PLAYER

Соответственно, если при удалении произошла ошибка, или часть файлов сохранилась...

Можно будет легко найти нужные объекты и зачистить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
omnilynx13
Получается, что или вы ещё не привыкли полностью доверять uVS или же вам не хватает функционала программы...

Если - это так, чего именно вам не хватает в uVS из того, что есть в AVZ. ?

Вопрос о доверии к uVS с моей стороны давно уже не стоит. Результаты, если читать папочку Doc в uVS и включать мозги, отличные.

Разница в функционале отлично показана в "AVZ и uVS – братья, но не близнецы (сравнительный анализ, update от 30_06_2011)" (с) santy, за что ему отдельный поклон и хотелось бы что и дальше были update оной.

А что до не хватки чего бы то либо из AVZ в uVS и наоборот. Законный вопрос а зачем дублировать функционал? вот лично мне дублирование не нужно. И к тому ж у обоих этих программ всё ж разная философия и подходы разные... И мне бы например не хотелось бы что б uVS превышалась "в комбайн который и поёт и пляшет".

AVZ и uVS дополняют они друг друга отлично, я пока не сталкивался примером когда бы эта связка не сработала и надеюсь что в будущем не столкнусь.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

вот кстати, образ автозапуска с машины сильно-сильно зараженной. добывался он долго и упорно. :). при том, что AVZ зависал и не запускался у человека, безопасный режим не работал, uVS подвис в процессе создания образа автозапуска, оставалась надежда на запуска c Live.CD, но выручил режим запуска startF.exe (выгрузка нежелательных приложений при старте программы). Отсюда следует, что АВЗ в чем то силен при завершении работы - ограничением гуарда, uVS - при старте выгрузкой нежелательных приложений. :). В этой машине -полный комплект: Spy.shiz, Ddox.ci и самое опасное конечно - Sality.

4FOOLS_2011_07_25_13_43_40.7z

4FOOLS_2011_07_25_13_43_40.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

. В этой машине -полный комплект: Spy.shiz, Ddox.ci и самое опасное конечно - Sality.

 4FOOLS_2011_07_25_13_43_40.7z ( 203.3 килобайт )

Вот это уже по нашему. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Встретил пример совместного применения uVS & AVZ

Кто, что скажет по этому примеру ?

://pchelpforum.ru/f26/t64080/

честно говоря, несмотря на славную историю развития AVZ, мне немного жаль тех хелперов, которые используют исключительно AVZ, игнорируя и недооценивая силу uVS. согласен с omnilynx13, следует применять и тот и другой инструмент. Тем более, что на многих форумах активно используется именно АВЗ, и пользователи легко справляются с операциями: создать логи АВЗ, выполнить скрипт в АВЗ. Но так же легко они проделывают это и с uVS: запустить uVS через start, создать полный образ автозапуска, выполнить скрипт из буфера обмена или файла. В перспективе - uVS становится все более самодостаточен. AVZ же не мешает научиться работать в офлайне с xml-логом и создавать скрипты из оболочки AVZ. Весьма утомительное занятие - крутить скроллинговое колесо в браузере (особенно если hosts полон пустых записей, которые маскируют блокирование определеннеых сайтов) и кликать постоянно карантин, удалить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vitokhv

Здравствуйте, подскажите в чем заключается ошибка:

При нажатии "Запустить под текущим пользователем" появляется ошибка номер 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
При нажатии "Запустить под текущим пользователем" появляется ошибка номер 2

В процессе подготовки к запуску было уничтожено тело uVS, например антивирус его прибил или зловред... другого типа :D

Ошибка всегда повторяется или возникает лишь переодически?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

v3.68

Исправление, как показали опыты в ключе *\Control\Session Manager\AppCertDlls

можно создавать значения с произвольным именем значения (в т.ч. и в дефолтном) и прописанная в нем dll будет успешно подгружаться в процессы, соотв. теперь обрабатываются все строковые значения в данном ключе, обработка скриптовой команды delref тоже пофиксена.

o В список для проверки добавлено 2 ключа реестра.

o Новая функция в меню "Дополнительно"->"Сбросить атрибуты для всех файлов/каталогов в..."

Функция НЕ_доступна при работе с образом.

o Новая функция в меню "Настройка"->"Ручная настройка трансляции имен дисков..."

Функция доступна при работе с неактивной системой.

o Новый параметр в settings.ini

[settings]

; Автоматическое добавление исполняемых файлов в указанных каталогах в список

AddDirs

Разделитель: |

Флаг отмены рекурсии: >

Допустимо использование скриптовых сокращений пути.

Пример: %sys32% | d:\tools | >%SystemDrive%

o Исправлена ошибка в start.exe

При возникновении проблем с доступом к необходимым файлам мог происходить самопроизвольный сброс некоторых флагов.

o Модифицирована функция безопасного удаления...

Функция не удаляет ссылки на файлы имеющие лишний "\" перед именем файла.

o Исправлена ошибка в функции проверки скрипта.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
\Control\Session Manager\AppCertDlls

эту часть можно добавить в критерии поиска, в запись ссылка должно входить это выражение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

santy

Не обязательно, все файлы перечисленные в ключе автоматом идут в подозрительные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
v3.68

Исправление, как показали опыты в ключе *\Control\Session Manager\AppCertDlls

можно создавать значения с произвольным именем значения (в т.ч. и в дефолтном) и прописанная в нем dll будет успешно подгружаться в процессы, соотв. теперь обрабатываются все строковые значения в данном ключе, обработка скриптовой команды delref тоже пофиксена.

работает проверка этого ключа в 3.68

сам файл был видимо раньше удален

Полное имя C:\PROGRAM FILES\INTERNET EXPLORER\SETUPAPI.DLL

Имя файла SETUPAPI.DLL

Тек. статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Сохраненная информация на момент создания образа

Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Инф. о файле Не удается найти указанный файл.

Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Путь до файла Не_типичен для этого файла [имя этого файла есть в известных]

Ссылки на объект

Ссылка HKLM\System\CurrentControlSet\Control\Session Manager\AppCertDlls\DefaultVerifier

DefaultVerifier C:\Program Files\Internet Explorer\setupapi.dll

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

образ автозапуска системы, зараженной MBRLock, вылечил скриптом из под winPe&uVS :).

;uVS v3.67 script [http://dsrt.dyndns.org]

fixmbr MBR#0 [232,9GB]

restart

MINWINPC_2011_01_07_10_42_48.7z

MINWINPC_2011_01_07_10_42_48.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

хм, вопрос:

как запускается эта dll (ddox.ci), если путь на нее в реестре указан другой?

система:

uVS v3.67: Windows 7 Home Premium x64 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]

Полное имя C:\WINDOWS\SYSWOW64\SXOLAJJ.DLL

Имя файла SXOLAJJ.DLL

Тек. статус ВИРУС ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске

www.virustotal.com Хэш НЕ найден на сервере.

Сохраненная информация на момент создания образа

Статус ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Размер 57344 байт

Создан 24.07.2011 в 00:01:32

Изменен 24.07.2011 в 00:01:58

Тип файла 32-х битный ИСПОЛНЯЕМЫЙ

Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Автозапуск Неизвестный файл использует ключ реестра часто используемый вирусами

Доп. информация на момент обновления списка

SHA1 C9C1FF02481C92A715E78EC4F635A32FF18F67CE

MD5 4B3E00962B782EB3C7C782778FCF4949

Ссылки на объект

Ссылка HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

Appinit_Dlls C:\Windows\system32\sxolajj.dll

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

как запускается эта dll (ddox.ci), если путь на нее в реестре указан другой?

После запуска основного тела вируса - происходит подмена пути в реестре, для стеллс это нормально! :)

Вот досадная штука! MBR в uVS недобавляется в сигнатуры... :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
как запускается эта dll (ddox.ci), если путь на нее в реестре указан другой?

x64 однако.

HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

Для 32-х битных приложений и ключей работающих в 64-х битной системе действует системный редиректор для которого system32 = syswow64 (не_верно для _некоторых подкаталогов), в данном случае это ключ для 32-х битных приложений и это корень system32 т.е. путь попадает под действие редиректора.

В свою очередь в uVS встроен эмулятор системного редиректора, который и позволяет более-менее правильно определять _реальный путь до исполняемого файла с учетом редиректора, а также ntfs джанкшенов и репарсов как в активной 64-х битной системе так и в неактивной 64-х битной системе вне зависимости от разрядности и версии системы используемой _для проверки.

Вот досадная штука! MBR в uVS недобавляется в сигнатуры...

В будущем возможно и будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Допустимо использование скриптовых сокращений пути.

Пример: %sys32% | d:\tools | >%SystemDrive%

уточни, пожалуйста, по этой настройке, что значит "флаг отмены рекурсии"? то что файлы будут браться только из этого каталога, на затрагивая подкаталоги?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
      Антивирусы для macOS были обновлены до версии 6.10.700.
    • ForetFR
      CLIMB Hearsay from Earth - https://mebonus.ru
      Google №Wet

      Palestinians scoot as Israel bombards haunts from style, swell and sod!!!

      Google Hearsay

      People in Gaza fled their homes carrying crying children and valued possessions as Israeli forces pounded the vicinage from aura, adrift and land on Friday.
      The escalating controversy triggered furious protests in the occupied West Bank, where seven Palestinians were killed by way of Israeli army fire, and moreover fury between Arabs and Jews in Israel.
      Hamas praised the clashes between stone-throwing youths and Israeli soldiers in the West Bank grevorgАЛИdVhower , m‚tier on Palestinians to “set the ground ablaze under the feet of the rule”.
      Google RUMOUR - Wet
      In a meritorious escalation in the worst bout of fighting between Israel and Hamas looking for seven years, oppressive artillery fire was aimed at what the Israeli military said was a hefty network of fighter tunnels. Dozens of Hamas operatives were killed in the strikes, the Israel Apologia Forces (IDF) said.
      Palestinian protesters burn tyres and throw stones at Israeli forces in the West Bank community of Nablus

      There was gallimaufry overnight after the IDF corrected an earlier communiqu‚ saying that base troops were “currently attacking in the Gaza Strip”. A blemished proclamation clarified that there was no excuse sediment aggression, but artillery and tank vivacity from the border. “Clarification: there are currently no IDF establish troops reversed the Gaza Strip. IDF current and area forces are carrying out strikes on targets in the Gaza Strip,” it said.
      What is the current Israel-Gaza turning-point far and where is it heading?
      Deliver assign to more - GOOD COPY - in cak

      Analysts suggested it was a purposeful ploy intended to onwards elder Hamas figures to split for into a network of hidden tunnels known as “the metro”. Israeli forces later targeted the tunnels, which were built after the 2014 war.
      An IDF asseveration said 160 aircraft had “struck over 150 subterranean targets in the northern Gaza Shed one's clothes” overnight. Israel’s forces destroyed “many kilometres” of the tunnels during the assail, it claimed.
      A multi-storey building casing a bank affiliated with Hamas was destroyed, and weapons opus and naval sites were also smash, it said.

      Palestinians living in areas closed to the Gaza-Israel frieze fled their homes in pickup trucks, on donkeys and on foot. Some went to UN-run schools in Gaza Urban district, carrying small children, household essentials and food.
      Hedaia Maarouf, who left-wing her serene with her extended kinfolk of 19 people, including 13 children, said: “We were terrified instead of our children, who were screaming and shaking.”
      A Palestinian kindred flees their home in Beit Lahya in the northern Gaza Strip?
      In northern Gaza, Rafat Tanani, his having a bun in the oven strife and four children were killed after an Israeli warplane reduced a building to rubble, residents said.
      Bill - Matt Gaetz associate pleads contrite to sexual congress trafficking crimes – US manipulation animate Bouts

      The death chime in Gaza rose to over and above 120, with a dressy increase in the number of people injured in the overnight onslaught, according to the Gaza health ministry. At least 31 children bear been killed.
      Hospitals that were already struggling to wine patients with Covid received an influx of people with shrapnel wounds and other injuries. Some needed amputations. “All I can do is beseech,” said one hospital director.
      The UN said more than 200 homes and 24 schools in Gaza had been destroyed or severely damaged in Israeli bearing raids in the lifestyle five days. It also said residents’ access to inexperienced spa water could be limited because of power cuts and harm to pipe networks.
      Increased power blackouts are expected as nuclear fuel supplies off low. Most families already exclusively have power in regard to four or five hours a daylight, and hospitals are stiff to rely on generators.

      Hamas and other militant groups continued to fusillade rockets into Israel, where example sirens sounded in towns and communities. The Israeli military said it had intercepted at least five drones carrying explosives launched from Gaza since Thursday.
      Read more Scandal - HEARSAY - in Wet

      Statistic Tidings Front-page news
      http://mebonus.ru - Front-page news of Googles
    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
    • akoK
×