надо добавитьRegKeyIntParamWrite
RegKeyParamWrite
RegKeyStrParamWrite(' ',' ',' ',' ');
RegKeyResetSecurity(' ',' ');
В шаблоне ничего не пропущено, в шаблоне даны основные наиболее часто используемые команды которые вам потребуются при прохождении курса.
Нужна для написания ответов к логам.RegKeyStrParamWrite(' ',' ',' ',' ');
я тоже вас не понимаю... чего вы хотите? чтоб для вас добавили все команды которые можно использовать в AVZ в шаблон?????вы видно меня не поняли, там я эти команды вижу! но их нету в шаблоне который скачивается из шапки
Последний раз редактировалось beve; 15.02.2011 в 23:53. Причина: Обновлен шаблон (согласно рекомендациям сдесь на форуме).
из файлового хранилища VN скачивается старая версия.
Начните с ручной сортировки, оно и полезней и всё по порядку будет
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\niwhaw.exe','');
QuarantineFile('C:\WINDOWS\system32\5a0bdd5a.exe','');
QuarantineFile('C:\WINDOWS\system32\XDva382.sys','');
QuarantineFile('C:\WINDOWS\system32\nelsqwn.dll','');
DeleteFile('C:\WINDOWS\system32\nelsqwn.dll');
DeleteFile('C:\WINDOWS\system32\XDva382.sys');
DeleteFile('C:\WINDOWS\system32\5a0bdd5a.exe');
DeleteFile('C:\WINDOWS\system32\niwhaw.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
DelBHO('1E796980-9CC5-11D1-A83F-00C04FC99D61');
DeleteService('XDva382');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\niwhaw.exe','');
QuarantineFile('C:\WINDOWS\system32\5a0bdd5a.exe','');
QuarantineFile('C:\WINDOWS\system32\XDva382.sys','');
QuarantineFile('C:\WINDOWS\system32\nelsqwn.dll','');
DeleteFile('C:\WINDOWS\system32\nelsqwn.dll');
DeleteFile('C:\WINDOWS\system32\XDva382.sys');
DeleteFile('C:\WINDOWS\system32\5a0bdd5a.exe');
DeleteFile('C:\WINDOWS\system32\niwhaw.exe');
DelBHO('1E796980-9CC5-11D1-A83F-00C04FC99D61');
DeleteService('XDva382');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
что то пока не уловил каким образом ты мог снести... ничего криминального не вижуАга, а я то доверял программе, чуть пользователю userinit не снёс,
вставил:
это связано счто то пока не уловил каким образом ты мог снести... ничего криминального не вижу
в шаблоне пропущена одна строчка, между командами
...
RegKeyStrParamWrite(' ',' ',' ',' ');
после обработки сортировщиком команд старой версии это команда исчезала из скрипта. вот что подразумевал fidgetRegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
Глупость несусветная. AVZ вычищает userinit от удаляемых хвостов вполне нормальнопо идее в результате эвристической чистки AVZ должен удалить этот ключ
нужна (?) для старых версий AVZ и, возможно, для AVP Tool и KISRegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
thyrex, я это написал.Глупость несусветная. AVZ вычищает userinit от удаляемых хвостов вполне нормально
в реале он знает о его значение и не удалит, а исправит на правильную даже если эту строчку не добавить)
begin
QuarantineFile('C:\1.dll','');
end.
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
begin
QuarantineFile('C:\1.dll','');
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');
end.
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?