Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

поговорить о uVS, Carberp, планете Земля

RSS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.11.2011 19:06:42
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 108 109 110 111 112 ... 167 След.
 
santy
santy
Администратор
Сообщений: 17963
Баллов: 14370
Регистрация: 16.03.2010
Размещено 22.08.2013 21:47:17
на Компасе.... правда тема месячной давности, и tdsskiller уже 2.9.2
посмотрел файлики другие от eset все с цифровой подписью.
Изменено: santy - 22.08.2013 21:48:54
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 29.08.2013 22:03:47
http://www.itsec.ru/newstext.php?news_id=94593
Федеральное управление по информационной безопасности Германии (BSI) выступило с предостережением, что компьютеры под управлением операционной системы Windows 8, вероятно, представляют более высокий уровень угрозы для пользователей, компаний, государственных ведомств и операторов объектов инфраструктуры государства, сообщает Reuters.

В частности, в заявлении говорится, что комбинация Windows 8 и микроконтроллера TPM (Trusted Platform Module) 2.0, которым оснащаются компьютеры под управлением Windows 8, ведет к "потере контроля над аппаратным и программным обеспечением системы". Это, утверждают в управлении, позволяет, в свою очередь, скрыто удаленно получать доступ к системе третьим лицам.
------------
Пока установка модуля TPM в компьютеры является добровольной, однако в ПК с предустановленной Windows 8.1 его наличие будет обязательным.
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 06.09.2013 22:44:12
UNLOAD
можно применять в скрипте ДЛЯ ВСЕХ популярных браузеров.
Код
     

;uVS v3.81.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

unload %SystemDrive%\Program Files\Mozilla Firefox\firefox.exe
unload %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE
unload XXX

и т.д.

т.е Из инструкции по выполнению скрипта можно будет убрать строку: "ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!"
= Избежать ненужных осложнений, если человек не закрыл браузер.
+ в дальнейшем реализовать автоматическое применение в рамках: Alt+A
Изменено: RP55 RP55 - 06.09.2013 22:47:24
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 07.09.2013 16:25:04
И тишина...
 
santy
santy
Администратор
Сообщений: 17963
Баллов: 14370
Регистрация: 16.03.2010
Размещено 07.09.2013 17:35:04
ну, мы в принципе не с браузерами воюем, а с нежелательным, и вредоносным контентом.
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 11.09.2013 15:29:13
странный тут лог выполнения скрипта - http://forum.esetnod32.ru/forum6/topic10038/
добавлена куча сигнатур, а вирус обнаружился и удалился всего 1
или это человек 2 раза скрипт выполнял...
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17963
Баллов: 14370
Регистрация: 16.03.2010
Размещено 11.09.2013 15:53:31
скорее всего так и есть. я тоже это заметил.
но в этом скрипте exp.exe живой, хотя может и восстановился, просто на диске лежал, а не запустился.
(в образе из безопасного его уже не было)
Цитата
zoo %SystemDrive%\USERS\СЕМЬЯ\DOCUMENTS\APPDATA\EXP.EXE
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\USERS\СЕМЬЯ\DOCUMENTS\APPDATA\EXP.EXE
Файл скопирован в ZOO: C:\USERS\СЕМЬЯ\DESKTOP\ЦЦЦЦ\ZOO\EXP.EXE._A5CBD30A5E987F03220721B35F7D62FA1389E4F9
--------------------------------------------------------
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 11.09.2013 15:54:27
надо было dll удалить через del
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17963
Баллов: 14370
Регистрация: 16.03.2010
Размещено 11.09.2013 16:02:44
а где ты здесь увидел dll, я не нашел в образе. или в другом месте?
Изменено: santy - 11.09.2013 16:03:24
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 11.09.2013 16:05:51
да, в другом. в другом образе другого человека :D
перепутал малость
Правильно заданный вопрос - это уже половина ответа
 
Пред. 1 ... 108 109 110 111 112 ... 167 След.
Читают тему