поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 104 105 106 107 108 ... 167 След.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 22.06.2013 21:52:23

Разработчик Anti SMS

Цитата
simplix пишет: rpcss.dll Пока что есть два дополнительных вопроса по этой теме: 1) Есть ли у кого-нибудь дроппер (файл с интернета, который патчит rpcss.dll)? 2) Какие системы заражаются - только WinXP, или все WinXP-Win8? Сами заражённые файлы других систем тоже пригодятся, возможно на их основе получится сделать универсальное лекарство.

Цитата

simplix пишет:
rpcss.dll
Пока что есть два дополнительных вопроса по этой теме: 1) Есть ли у кого-нибудь дроппер (файл с интернета, который патчит rpcss.dll)? 2) Какие системы заражаются - только WinXP, или все WinXP-Win8? Сами заражённые файлы других систем тоже пригодятся, возможно на их основе получится сделать универсальное лекарство.

http://forum.simplix.ks.ua/viewtopic.php?pid=16030#p16030
Помочь нужно.
Вдруг сделает лекарство ?

Изменено: RP55 RP55 - 22.06.2013 21:53:56

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 23.06.2013 10:01:01

у ДрВеба этот вариант банкера называется Trojan.PWS.Ibank
http://vms.drweb.com/virus/?i=2417506

Изменено: santy - 24.06.2013 17:48:59

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 24.06.2013 08:54:38

автоскрипт для темы
http://forum.esetnod32.ru/forum6/topic9670/
выглядит так:

Цитата
;uVS v3.80.10 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://WWW.APEHA.RU delhst 66.85.174.29 m.my.mail.ru delhst 66.85.174.29 vk.com delhst 66.85.174.29 vk.com delhst 66.85.174.29 ok.ru delhst 66.85.174.29 ok.ru delhst 66.85.174.29 m.vk.com delhst 66.85.174.29 odnoklassniki.ru delhst 66.85.174.29 www.odnoklassniki.ru delhst 66.85.174.29 www.odnoklassniki.ru delhst 66.85.174.29 m.odnoklassniki.ru delhst 66.85.174.29 m.ok.ru ; Java™ 6 Update 37 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216035FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Цитата

;uVS v3.80.10 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.APEHA.RU

delhst 66.85.174.29 m.my.mail.ru
delhst 66.85.174.29 vk.com
delhst 66.85.174.29 vk.com
delhst 66.85.174.29 ok.ru
delhst 66.85.174.29 ok.ru
delhst 66.85.174.29 m.vk.com
delhst 66.85.174.29 odnoklassniki.ru
delhst 66.85.174.29 www.odnoklassniki.ru
delhst 66.85.174.29 www.odnoklassniki.ru
delhst 66.85.174.29 m.odnoklassniki.ru
delhst 66.85.174.29 m.ok.ru
; Java™ 6 Update 37
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216035FF} /quiet

deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 24.06.2013 09:13:24

chklst
delvir
- тут лишнее
не хватает удаления апехи из ссылок браузера, а также еще одной старой явы - Software detected: Java 7 Update 17

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 24.06.2013 09:44:28

почему? апеха удаляется.

Цитата
delref HTTP://WWW.APEHA.RU

Java 7 не добавляю в критерии, только 6. поэтому.
по chklst&delvir можно в принципе отследить, если ни одной сигнатуры не добавлено в скрипт, то не добавлять команду в скрипт.

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 24.06.2013 09:45:53

не заметил ссылку:)
а я удаляю не последнюю версию 7 версии явы. видео как через нее проникают гады.

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 24.06.2013 09:51:05

тогда постоянно надо менять критерий, хотя это не сложно.

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 24.06.2013 09:51:37

у меня один критерий для этого дела - java

Изменено: Арвид - 24.06.2013 09:51:52

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 24.06.2013 09:58:55

я это добавил в список критериев для деинсталла

Цитата
ASK TOOLBAR BABYLON TOOLBAR BABYLONOBJECTINSTALLER BROWSER MANAGER BROWSETOSAVE DEALPLY FACEMOODS GET STYLES GET-STYLES JAVA™ 6 MCAFEE SECURITY SCAN MEDIABAR TOOLBAR PANDORA SERVICE SEARCHQU TOOLBAR STARTNOW TOOLBAR TICNO IO TICNO MULTIBAR TICNO SHELL TICNO TABS TNOD USER BONJOUR SEARCH-RESULTS TOOLBAR

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 24.06.2013 10:01:16

у меня более универсальный

java
toolbar
ticno
moods
pandora
guard
spyhunter
optimize

Правильно заданный вопрос - это уже половина ответа

Пред. 1 ... 104 105 106 107 108 ... 167 След.