AVZ 4.32

**QUARQ** · 11.10.2009, 03:24

может ли данная утилита работать с удоленным реестром ? и как этого добиться от нее...
суть проблемы: вирус блокирует сеф мод ,редактор реестра учетную запиь и тд..
из под втрой системы можно поудалять вирусы но реестр почистиь таким образом не получается и востоновить работоспособность тоже приходится разблокировать сейф мод через ерд командер перезагружаться в сейф моде и лечить систему дальше ...
было бы очень удобно загружаешся в барт пе включаешь в AVZ пунк меню работа с удоленным реестром .... а дальше как на живой системе

с уважением пользователь AVZ

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Oyster** · 11.10.2009, 05:51

QUARQ, почитайте AVZ on LiveCD, особенно про редиректор RunScanner

**gjf** · 11.10.2009, 13:31

QUARQ, не думаю, что так всё запущено. Если можно загрузиться нормально - почему бы там не собрать логи? А потом почистить всё - это уже относительно просто.
Вообще, если такая проблема - Вам в раздел Помогите.

**QUARQ** · 12.10.2009, 01:41

свем спс за советы! но из того что прочел ..не чуть не легче описаной мною схемы лечения : много танцев с бубном, а результат больше утешительный, чем обнадеживающий.

**Oyster** · 12.10.2009, 02:30

QUARQ Можно не заморачиваться с настройкой плагина. Просто грузитесь во вторую операционку или BartPE, а из неё уже запускайте RunScanner с параметрами - где лежит "больная" винда, где профиль "больного" юзера и где, собственно, лежит AVZ.

**QUARQ** · 13.10.2009, 21:54

Oyster, ага ! это уже теплее огромное СПС

**QUARQ** · 14.10.2009, 15:36

нашел вот такую сборку RusLive Full в оболочку встроен RunScanner
правой кнопкой по AVZ выбрать "run with remote registry"
работает не всё, но уже можно нармально щемить гадов!
попробовал запустить drweb по тойже схеме через некоторое время вылетает через неопределенное время "по английски" всем еще раз огромное спс за нааводки

**NickM** · 15.10.2009, 08:54

Пожелание: неплохо было бы обрабатывать нажатие Enter как "Выполнить/Пуск", в строке поиска "Сервис--Поиск данных в реестре", удобно и быстро.

**icotonev** · 15.10.2009, 19:06

Хотите знать мнение АВЗ в Болгарии..Читайте здесь:

http://www.kaldata.com/forums/index....pic=92291&st=0

Для этого я являюсь студентом..чтобы доказать, что AVZ является большая программа!

**Ingener** · 17.10.2009, 10:36

У меня возник такой вопрос - как в AVZ организовать перебор разделов реестра по заданной маске и выполнение определённых действий при удовлетворение заданных условий.
Например мы имеем:

Код:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS]
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv]
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BITS]
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wuauserv]
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BITS]
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wuauserv]
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\BITS]
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\wuauserv]
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

Где: hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,5 2,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d ,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00 ,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73 ,00,00,00 = %fystemRoot%\System32\svchost.exe -k netsvcs

Как организовать перебор разделов

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004
***
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet***
***
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet999

И при наличие заданного раздела выполнение следующих действий:

Код:

RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet***\Services\BITS');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet***\Services\wuauserv');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet***\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet***\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');

Т.е. можно ли как-нибудь автоматизировать данные действия.

Данная фича может быть полезной например для удаления ключей вида:

7. Эвристичеcкая проверка системы
>>> Подозрение на маскировку ключа реестра службы\драйвера "aawuct"
>>> Подозрение на маскировку ключа реестра службы\драйвера "eihtq"
>>> Подозрение на маскировку ключа реестра службы\драйвера "IasSvc"
>>> Подозрение на маскировку ключа реестра службы\драйвера "igwsoif"

**Kuzz** · 17.10.2009, 11:27

Ingener,

Код:

var count:integer;
begin
for count:=1 to 999 do
 begin
 if RegKeyExists('HKLM', 'SYSTEM\ControlSet'+IntToStr(count)) then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet'+IntToStr(count)+'\Services\BITS');
  RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet'+IntToStr(count)+'\Services\wuauserv');
  RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet'+IntToStr(count)+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet'+IntToStr(count)+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Раздел ControlSet'+IntToStr(count)+' найден.');
  end;
 end;
end.

спесет отца демократии?

**Ingener** · 17.10.2009, 11:55

Сообщение от Kuzz

Ingener,

Код:

var count:integer;
begin
for count:=1 to 999 do
 begin
 if RegKeyExists('HKLM', 'SYSTEM\ControlSet'+IntToStr(count)) then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet'+IntToStr(count)+'\Services\BITS');
  RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet'+IntToStr(count)+'\Services\wuauserv');
  RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet'+IntToStr(count)+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet'+IntToStr(count)+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Раздел ControlSet'+IntToStr(count)+' найден.');
  end;
 end;
end.

спесет отца демократии?

Скрипт рульный составили - только он не перебирает разделы:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
***
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet099
Начинает работать только с раздела:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet100

У вас там задуман такой перебор:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet1
***
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet99
***
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet999

Поправьте плиз этот нюанс и всё будет в шоколаде...

Я вот так модифицировал ваш скрипт - теперь он все разделы перебирает:

Код:

var count:integer;
begin
for count:=1 to 9 do
 begin
 if RegKeyExists('HKLM', 'SYSTEM\ControlSet00'+IntToStr(count)) then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet00'+IntToStr(count)+'\Services\BITS');
  RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet00'+IntToStr(count)+'\Services\wuauserv');
  RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet00'+IntToStr(count)+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet00'+IntToStr(count)+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Раздел ControlSet00'+IntToStr(count)+' найден.');
  end;
 end;
for count:=10 to 99 do
 begin
 if RegKeyExists('HKLM', 'SYSTEM\ControlSet0'+IntToStr(count)) then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet0'+IntToStr(count)+'\Services\BITS');
  RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet0'+IntToStr(count)+'\Services\wuauserv');
  RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet0'+IntToStr(count)+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet0'+IntToStr(count)+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Раздел ControlSet0'+IntToStr(count)+' найден.');
  end;
 end;
for count:=100 to 999 do
 begin
 if RegKeyExists('HKLM', 'SYSTEM\ControlSet'+IntToStr(count)) then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet'+IntToStr(count)+'\Services\BITS');
  RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet'+IntToStr(count)+'\Services\wuauserv');
  RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet'+IntToStr(count)+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet'+IntToStr(count)+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Раздел ControlSet'+IntToStr(count)+' найден.');
  end;
 end;
end.

**Kuzz** · 17.10.2009, 12:59

Ну собственно этот скрипт я только что писал как ответ (и даже не посмотрел работает ли он

)

**Ingener** · 17.10.2009, 13:43

Подскажите пожалуйста есть ли функция преобразования текста в строку (в справке ничего подобного не смог найти) - наподобие IntToStr, которая преобразует целое число в строку.

Просто хочу организовать скрипт для удаления службы по имени, перебирающий заданные разделы и удаляющий ключи с заданным именем - но не знаю как автоматически задать это имя в команде RegKeyDel.

**MikeDlg** · 17.10.2009, 13:55

function StrToInt ( IntegerString : string ) : Integer; - можно попробовать, а вобще http://www.delphibasics.ru/ - справка по Дельфи

**Ingener** · 17.10.2009, 14:21

Сообщение от MikeDlg

function StrToInt ( IntegerString : string ) : Integer; - можно попробовать, а вобще http://www.delphibasics.ru/ - справка по Дельфи

Похоже AVZ эту функцию не знает - у меня не получается написать работающий скрипт с её помощью.
Если у вас получится - выложите плиз образец скрипта.

**Зайцев Олег** · 17.10.2009, 14:49

Сообщение от MikeDlg

function StrToInt ( IntegerString : string ) : Integer; - можно попробовать, а вобще http://www.delphibasics.ru/ - справка по Дельфи

Эта справка бесполезна, так как скрипт язык имеет паскалевский синтаксис, но не является Delphi или паскалем ... в нем поддерживается ограниченный набор функций, описанных в справке

Добавлено через 25 минут

Сообщение от Ingener

Подскажите пожалуйста есть ли функция преобразования текста в строку (в справке ничего подобного не смог найти) - наподобие IntToStr, которая преобразует целое число в строку.

Просто хочу организовать скрипт для удаления службы по имени, перебирающий заданные разделы и удаляющий ключи с заданным именем - но не знаю как автоматически задать это имя в команде RegKeyDel.

http://z-oleg.com/secur/avz_doc/script_inttostr.htm
http://z-oleg.com/secur/avz_doc/script_strtoint.htm

**MikeDlg** · 17.10.2009, 23:17

Сообщение от Зайцев Олег

Эта справка бесполезна, так как скрипт язык имеет паскалевский синтаксис, но не является Delphi или паскалем ... в нем поддерживается ограниченный набор функций, описанных в справке

Функции case, length тоже не будут работать?
просто по постам выше пришло в голову - добавление ведущих нулей в строку.

**Зайцев Олег** · 17.10.2009, 23:32

Сообщение от MikeDlg

Функции case, length тоже не будут работать?
просто по постам выше пришло в голову - добавление ведущих нулей в строку.

скорее всго будут, length так точно

**AndreyKa** · 18.10.2009, 21:24

Базы AVZ не обновяются более 2 суток

AVZ 4.32

Опции темы

Метки для этой темы

Ваши права в разделе