DeleteDirectory убивает только пустую папку - если в папке есть хоть один файл, то она останется на диске ... поэтому она не опасна. ОК, я сделаю DeleteFileMask с такими параметрами ...Сообщение от aintrust
DeleteDirectory убивает только пустую папку - если в папке есть хоть один файл, то она останется на диске ... поэтому она не опасна. ОК, я сделаю DeleteFileMask с такими параметрами ...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Может, просто запретить работу данной команды в директориях системных, программ, и прочих?
Иначе, чует моё сердце, будет вал претензий - "Почему Ваша тупая прога удалила мою систему?".
Ответ "У Вас самого кривые руки" - не катит, т.к. любая прога должна иметь защиту от дурака...
И потом - мало ли кто после 10 часов напряжённой работы может случайно дать неправильную команду?!?
В доке, кстати, этого не написано... =)
Я дописал доку и соорудил функцию. Убойная получилась штука, особенно для чистки темп папок и кешей IE
Вопрос: что не правильно в этом скрипте?
У меня он не работает, тоесть значения в реестре не меняются...Код:begin RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon','DefaultUserName','User'); RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon','DefaultPassword','password'); RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon','AutoAdminLogon','1'); end.
Добавлено через 15 минут
LOL
Всё работает. Ошыбка на сайте Microsoft -> http://support.microsoft.com/kb/315231
Должно быть так:
Код:begin RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','DefaultUserName','User'); RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','DefaultPassword','password'); RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','AutoAdminLogon','1'); end.
В логах AVZ:
На самом деле это ADwWare.CydoorФайл успешно помещен в карантин (C:\WINDOWS\system32\cd_load.exe)
C:\WINDOWS\system32\cd_load.exe >>>>> AdvWare.Cydoor успешно удален
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Какая разница - главное, что он удален
ну а на самом деле это Adware.Cydoor
Эт' точно (с)
Проблема в том, что ищещь в гугле и не находишь И-ции.Какая разница - главное, что он удален
Если по правильному имени, то можно еще неск. файликов прихватить.
Сорри, за обшибку. Даже стыдно, что сам такой же оказался.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Это имена из моей классификации - надо бы их истребить, так как последние пару лет я стараюсь полностью придерживаться классфикации ЛК (в частности я это делал именно из за удобства поиска зловредов в viruslist или гугле) - даже если вводится недетектируемый ЛК на момент внесения зловред, то имя я даю по их классификации (что-то типа Trojan.Win32.Pinch.gen или по ближайшему похожему - имхо нет принципиальной разницы, если AVZ будет детектить Hoax.Win32.Renos.ab, а KAV - скажем Hoax.Win32.Renos.bc - тип зловреда и семейство ясны).
Добавлено через 4 минуты
Теперь вопрос к хелперам - очередной раз в обсуждении вспомнился попрос о введении цифровых подписей к скрипту и привязке подписанного скрипта скажем к серийному номеру диска - дабы исключить возможность лобового запуска "чужих" скриптов для самолечения. Подписанный скрипт на ПК с "привильным" номером тома (или иной уникальной меткой) будет работать как и сейчас, без вопросов, а вот неподписанный или сделанный для другого ПК - выдавать куча алертов, предупреждая, чем чреват запуск "чужого" скрипта. Есть мнения или идеи по этому поводу ?
Последний раз редактировалось Зайцев Олег; 19.11.2007 в 14:35. Причина: Добавлено
С учётом факта подписывания достаточно при подписывании в AVZ автоматически добавлять в начало скрипта проверку на совпадение с исходным компьютером. И при запуске неподписанного, конечно, орать. А уж при запуске скрипта с кривой подписью орать ещё больше. Ещё вопрос, стоит ли ор отключать ключами комстроки...
Кстати, подпись будет на X.509 и отдельным файлом, isn't it? Или всё же свой бинарный формат?
Я "за", только как будет реализована подпись ?
При исследовании ПК будет вычислен некий бредокод, в основе например серийный номер системного тома. Далее этот код хелпер вводит куда-то (в отдельную тулзу, в существующий редактор скриптов ... и жмет "подписать"). В результате в скрипт вставляется комментарий с контрольной суммой скрипта и ID его системы. Лобовой запуск такого скрипта на дрегом ПК приведет к выдаче алерта о том, что применять "чужие скрипты" чревато и предложением одуматься и отменить выполнение скрипта. Аналогично с правкой и искажениями - если скрипт искажен, то будет выдан алерт о том, что нарушена CRC скрипта и лучше его не выполянять.
Понятное дело, что если убрать из скрипта этот комментарий или сделать свой скрипт по образу и подобию найденного в Инет, то алерт выдаваться не будет. Это имиенно мера защиты от ситуаций:
1. Один юзер обращается за помощью по нескольким ПК. Особенно актуально, если это скажем админ - он делает логи с 2-3 ПК и есть опасность, что он перепутает скрипты
2. Юзер находит в разделе "помогите" подходящие по его мнению скрипты и начинает их пускать все подряд - в этом случае алерт быть может заставит его лишний раз подумать
Вот это IMHO лишнее. Бывает, хэлпер допускает неточность или опечатку, которую тут же и обнаруживает. Одно дело быстренько поправить "по месту", другое - прогонять через редактор и копировать скрипт заново...Аналогично с правкой и искажениями - если скрипт искажен, то будет выдан алерт о том, что нарушена CRC скрипта и лучше его не выполянять.
I am not young enough to know everything...
полностью согласен с Bratez ...
Тогда подпись получится несколько ущербная.
Хотя инцидентов с самостоятельной правкой скриптов самими пользователи я не припомню. Да и нет, по большому счёту, защиты от активного дурака.
Imho пусть "бредокод" генерится при исследовании системы и пишется в hmml/xml (незаметно для юзера типа желтым по желтому)
При генерации скрипта по протоколу исследования автоматом сразу после begin его и вставить можно. код не совпадает - ругань, нет кода - предупреждение
и это очень правильное мнение. Лучше сделать эту процедуру выполняемой автоматически при исследовании системы, чем потом ручками что-то куда-то вставлять, получать пряник, который потом скармливать программе.
Если что-то непонятное плывет к Вам прямо в руки, то не спешите обладать им! Приглядитесь, возможно, оно просто не тонет...
AVZ 4.27 30.08.2007
Какой-то походу баг..
Запускаю ревизор. Выбираю Documents and Settings. Настройки: Типы файлов - все файлы, режим создания базы - любой.
Нажимаю пуск. Начинается создание базы, через некоторое время вылетает окно "Антивирусная утилита AVZ" с текстом "Range check error."
Методом исключений начинаем искать где собака порылась и находим "C:\Documents and Settings\DoggoD\Рабочий стол".
На рабочем столе имеются папки. Если я в дереве Ревизора убиру галку с ЛЮБОЙ из вложенных папок, то база создается..
Согласен если это домашний пользователь сделает ... то подобные высказывания возможны, если системный администратор то проблем как правило возникать не будет! Думаю, что перед тем как выполнить скрипт, AVZ проверит к какому классу пользователей относится учетная запись... если без прав администратора то команда не будет выполненна в системных директориях. Возможно Олег уже это предусмотрел!
Начинающим КуЛьХаЦкЕрАм, а так же продвинутым! - http://www.uk-rf.com/glava28.html
Ваши права в разделе
