http://slog.rusff.me/ Сухоложский форум ru-ru Mon, 22 Sep 2008 12:52:05 +0400 MyBB/mybb.ru http://slog.rusff.me/viewtopic.php?pid=4#p4 <p>Обход защиты игр от НевоСофт.</p> <p>При старте игры в папке с игрой в подкаталоге &quot;games&quot; создаётся скрытый системный файл с расширением DLL или TMP. Меняем расширение на EXE. В свойствах файла убираем галочку &quot;скрытый&quot;. Наслождаемся игрой.</p> mybb@mybb.ru (AntiDot) Mon, 22 Sep 2008 12:52:05 +0400 http://slog.rusff.me/viewtopic.php?pid=4#p4 http://slog.rusff.me/viewtopic.php?pid=3#p3 <p>1. Создаем текстовик.<br />2. Скидываем туда следующий текс.<br />3. Меняем расширение с txt на cmd или bat.<br />4. Запускаем скрипт.</p> <p>@echo off<br />rem mode con cols=80 lines=25<br />title &quot;Virus Vaccine v1.0&quot;<br />color 0A<br />if _%1 == _vskip goto viremovl<br />cls<br />echo Утилита для удаления некоторых вирусов, распространяющихся с флэшками<br />echo и их разрушительного воздействия на систему<br />echo Копирайты: <br />echo -----------------------------------------------------------------<br />echo * Оригинальный код неизвестного китайца&#160; &#160; &#160; &#160; &#160; &#160;2007-05-23<br />echo * Модифицирован wwwCTPAX-X.ru&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; 2007-09-08<br />color 01<br />echo * Модифицирован Andy -- <a href="http://minilabmaster.com" rel="nofollow" target="_blank">http://minilabmaster.com</a>&#160; 2007-10-14<br />color 0A<br />echo Удаляет следующие вирусы: C:\windows\<br />echo cmd.exe.exe,lsass.exe,setuprs1.pif<br />echo autorun.inf,autorun.exe, runauto...<br />echo Удаление вредоносного файла AutoRun.inf со всех дисков<br />echo ------------------------------------------------------------------<br />echo Добавлено Andy:<br />echo.<br />echo Восстанавливает доступ к реестру<br />echo Восстанавливает доступ к диспетчеру задач<br />echo Восстанавливает меню Вид-Свойства папки<br />echo Восстанавливает отображение скрытых файлов и папок<br />echo Восстанавливает запуск исполняемых файлов<br />echo Блокирует меню &quot;Автозапуск&quot; при наличии файла AutoRun.INF на диске<br />echo Не удаляет AutoRun.INF на флэшках от программы VirUpdate&#160; <br />echo -------------------------------------------------------------------<br />set /p confremv=&quot;Начать? (нажмите Y для продолжения, R для создания точки восcтановления) &quot;<br />if _%confremv% == _Y goto viremovl<br />if _%confremv% == _y goto viremovl<br />if _%confremv% == _Н goto viremovl<br />if _%confremv% == _н goto viremovl<br />if _%confremv% == _R goto restore<br />if _%confremv% == _r goto restore<br />if _%confremv% == _К goto restore<br />if _%confremv% == _к goto restore</p> <p>goto quit<br />:restore<br />&quot;%systemroot%\system32\restore\rstrui.exe<br />pause<br />goto viremovl<br />:viremovl<br />if not exist &quot;%SYSTEMROOT%\subinacl.exe&quot; copy subinacl.exe %SYSTEMROOT%\ <br />echo Убиваем подозрительные процессы...<br />taskkill /fi &quot;services eq kkdc&quot; /f &gt;nul<br />taskkill /im cmd.exe.exe /f &gt;nul<br />taskkill /im regedit.exe.exe /f &gt;nul<br />taskkill /im r.exe /f &gt;nul<br />taskkill /im autorun.exe /f &gt;nul<br />sc stop kkdc &gt;nul<br />net stop kkdc &gt;nul<br />sc delete kkdc &gt;nul<br />echo Удаляем атрибуты &quot;скрытый&quot; и &quot;системный&quot; с <br />echo подозрительных файлов... <br />attrib -s -h -r %SystemDrive%\autorun.inf &gt;nul<br />attrib -s -h -r %SystemDrive%\r.exe &gt;nul<br />attrib -s -h -r %SystemDrive%\autorun.exe &gt;nul<br />attrib -s -h -r &quot;%SYSTEMROOT%\cmd.exe.exe&quot; &gt;nul<br />attrib -s -h -r &quot;%SYSTEMROOT%\lsass.exe&quot; &gt;nul<br />attrib -s -h -r &quot;%SYSTEMROOT%\setuprs1.pif&quot; &gt;nul<br />attrib -s -h -r &quot;%SYSTEMROOT%\autorun.exe&quot; &gt;nul<br />attrib -s -h -r &quot;%SYSTEMROOT%\r.exe&quot; &gt;nul<br />attrib -s -h -r &quot;%SYSTEMROOT%\r*.exe&quot; &gt;nul<br />rd %SystemDrive%\runaut~1 /s /q &gt;nul<br />echo Удаляем подозрительные файлы...<br />del %SystemDrive%\autorun.inf /q &gt;nul<br />del %SystemDrive%\r.exe /q &gt;nul<br />del %SystemDrive%\autorun.exe /q &gt;nul<br />del &quot;%SYSTEMROOT%\cmd.exe.exe&quot; /q &gt;nul<br />del &quot;%SYSTEMROOT%\lsass.exe&quot; /q &gt;nul<br />del &quot;%SYSTEMROOT%\autorun.exe&quot; /q &gt;nul<br />del &quot;%SYSTEMROOT%\setuprs1.pif&quot; /q &gt;nul<br />del &quot;%SYSTEMROOT%\r.exe&quot; /q &gt;nul<br />echo Переименовываем файл regedit.exe в _regedit.exe ...<br />ren &quot;%SYSTEMROOT%\regedit.exe&quot; _regedit.exe &gt;nul<br />echo Удаляем подозрительные файлы по маске r*.exe...<br />del &quot;%SYSTEMROOT%\r*.exe&quot; /q &gt;nul<br />echo Переименовываем файл regedit.exe обратно...<br />ren &quot;%SYSTEMROOT%\_regedit.exe&quot; regedit.exe &gt;nul<br />echo Удаляем вредные ключи в реестре Windows, измененные вирусами...<br />reg delete &quot;HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe&quot; /v Debugger /f &gt;nul<br />reg delete &quot;HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe&quot; /v Debugger /f &gt;nul<br />reg delete &quot;HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe&quot; /v Debugger /f &gt;nul<br />reg delete &quot;HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe&quot; /v Debugger /f &gt;nul<br />reg delete &quot;HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe&quot; /v Debugger /f &gt;nul<br />reg delete &quot;HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KKDC&quot; /f &gt;nul<br />reg delete &quot;HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_KKDC&quot; /f &gt;nul<br />reg delete &quot;HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_KKDC&quot; /f &gt;nul<br />reg delete &quot;HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KKDC&quot; /f &gt;nul<br />reg delete &quot;HKLM\SYSTEM\ControlSet001\Services\kkdc&quot; /f &gt;nul<br />reg delete &quot;HKLM\SYSTEM\ControlSet002\Services\kkdc&quot; /f &gt;nul<br />reg delete &quot;HKLM\SYSTEM\ControlSet003\Services\kkdc&quot; /f &gt;nul<br />reg delete &quot;HKLM\SYSTEM\CurrentControlSet\Services\kkdc&quot; /f &gt;nul<br />reg delete &quot;HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List&quot; /v %SYSTEMROOT%\lsass.exe /f &gt;nul<br />reg delete &quot;HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List&quot; /v %SYSTEMROOT%S\lsass.exe /f &gt;nul<br />reg delete &quot;HKLM\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List&quot; /v %SYSTEMROOT%\lsass.exe /f &gt;nul<br />reg delete &quot;HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List&quot; /v %SYSTEMROOT%\lsass.exe /f &gt;nul<br />reg delete &quot;HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL&quot; /v CheckedValue /f &gt;nul<br />reg delete &quot;HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run&quot; /v SVOHOST /f &gt;nul<br />reg delete &quot;HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL&quot; /v CheckedValue /f &gt;nul<br />reg add &quot;HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL&quot; /v CheckedValue /t reg_dword /d 1 /f &gt;nul</p> <p>rem Восстанавливаем доступ к реестру<br />reg add &quot;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System&quot; /v DisableRegistryTools /t reg_dword /d 0 /f<br />rem Восстанавливаем доступ к диспетчеру задач<br />reg add &quot;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System&quot; /v DisableTaskMgr /t reg_dword /d 0 /f<br />rem Восстанавливаем меню Вид-Свойства папки<br />reg delete &quot;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer&quot; /v NoFolderOptions /f<br />rem Восстанавливаем отображение скрытых файлов и папок<br />reg add &quot;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced&quot; /v Hidden /t reg_dword /d 0 /f<br />rem Восстанавливаем запуск исполняемых файлов<br />reg add &quot;HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon&quot; /v Userinit /t reg_sz /d %SYSTEMROOT%\system32\userinit.exe, /f<br />reg add &quot;HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command&quot; /ve /t reg_sz /d &quot;\&quot;%%1\&quot; %%*%&quot; /f<br />echo.<br />cls<br />echo Удаление известных вирусов и их последствий завершено...<br />echo.<br />echo Блокировать меню &quot;Автозапуск&quot; при наличии файла AutoRun.INF на диске?&#160; &#160; &#160;<br />set /p confremv=&quot;Настоятельно рекомедуется! Нажмите Y если да, N если нет&quot; <br />if _%confremv% == _Y goto disautorun<br />if _%confremv% == _y goto disautorun<br />if _%confremv% == _Н goto disautorun<br />if _%confremv% == _н goto disautorun<br />goto delautorun <br />:disautorun<br />echo.<br />echo Отключаем выполнение файла AutoRun.INF с Флэшек...<br />echo.<br />subinacl /keyreg &quot;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2&quot; /grant=administrators=F &gt;nul<br />subinacl /keyreg &quot;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2&quot; /grant=Администраторы=F &gt;nul<br />reg delete &quot;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2&quot; /va /f &gt;nul<br />subinacl /keyreg &quot;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2&quot; /deny=SYSTEM=F &gt;nul<br />subinacl /keyreg &quot;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2&quot; /deny=Администраторы=F &gt;nul<br />subinacl /keyreg &quot;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2&quot; /deny=administrators=F &gt;nul<br />subinacl /keyreg &quot;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2&quot; /deny=ОГРАНИЧЕННЫЕ=F &gt;nul<br />cls<br />echo.<br />echo Выполнено...<br />:delautorun<br />cls<br />echo.<br />echo Удаляем файл AutoRun.INF со всех дисков<br />echo Программа НЕ УДАЛЯЕТ AutoRun.INF от программы VirUpdate! <br />echo.<br />echo Если файл не надо удалять с внешнего носителя,<br />echo вынете флэшку из компьютера... <br />pause<br />setlocal ENABLEDELAYEDEXPANSION<br />for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z ) do (<br />@echo Проверяется диск: %%d<br /> DIR %%d:\ &gt;nul<br /> if not ErrorLevel 1 (&#160; <br />set asd=<br />if exist %%d:\autorun.inf (<br /> for /f &quot;tokens=1&quot; %%A in (%%d:\autorun.inf) do (<br />&#160; &#160; if &quot;%%A&quot;==&quot;Shell\RunSC\command=VirUpdate.cmd&quot; (set asd=%%A)<br />&#160; &#160; @echo %%A <br />)<br />echo.<br />if &quot;!asd!&quot;==&quot;Shell\RunSC\command=VirUpdate.cmd&quot; @echo Этот AutoRun от VirUpdate!<br />echo.<br />)<br /> if not &quot;!asd!&quot;==&quot;Shell\RunSC\command=VirUpdate.cmd&quot; (<br /> if exist %%d:\autorun.inf cacls %%d:\autorun.inf /c /e /p /t everyone:f &gt;nul<br /> if exist %%d:\autorun.inf attrib -s -h -r %%d:\autorun.inf &gt;nul<br /> if exist %%d:\autorun.inf del %%d:\autorun.inf /q &gt;nul<br /> if exist %%d:\autorun.inf rd %%d:\autorun.inf /s /q &gt;nul<br /> if exist %%d:\runaut~1 cacls %%d:\runaut~1 /c /e /p /t everyone:f &gt;nul<br /> if exist %%d:\runaut~1 rd %%d:\runaut~1 /s /q &gt;nul<br /> if exist %%d:\autorun.inf.tmp attrib -s -h -r %%d:\autorun.inf.tmp &gt;nul<br /> if exist %%d:\autorun.inf.tmp del %%d:\autorun.inf.tmp /q) &gt;nul <br />)<br />)<br />echo.<br />cls<br />echo Выполнено...<br />echo.<br />rem cls<br />if exist &quot;%SYSTEMROOT%\cmd.exe.exe&quot; goto vcmd<br />goto vmore<br />:vcmd<br />start &quot;VRM&quot; /I &quot;%0&quot; vskip<br />goto quit<br />:vmore<br />echo -----------------------------------------------------------------<br />echo Известные вирусы удалены, вредные модифицированные ключи<br />echo реестра удалены или восстановлены.<br />echo Для вступления в силу некоторых параметров требуется перезагрузка<br />echo Enjoy!<br />echo Удачи, заходите на мой сайт <a href="http://minilabmaster.com" rel="nofollow" target="_blank">http://minilabmaster.com</a> <br />Echo Andy&#160; &#160;<br />echo ------------------------------------------------------------------<br />pause<br />exit<br />:quit<br />cls<br />echo -----------------------------------------------------<br />Echo Вы выбрали ВЫХОД, защита не включена!&#160; <br />Echo Удачи, заходите на мой сайт <a href="http://minilabmaster.com" rel="nofollow" target="_blank">http://minilabmaster.com</a> <br />Echo Andy&#160; &#160;<br />echo -----------------------------------------------------<br />echo.<br />pause<br />exit</p> mybb@mybb.ru (AntiDot) Mon, 22 Sep 2008 12:25:31 +0400 http://slog.rusff.me/viewtopic.php?pid=3#p3