поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 52 53 54 55 56 ... 167 След.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 24.03.2012 15:53:44

Цитата
santy пишет: а если ссылка содержит mkdrv - то искать по всему реестру?

И что ?
Это так долго ?
В конце концов uVS может скопировать файлы реестра и работать уже с копиией.
Что должно позволить сократить время проверки/поиска.

Изменено: RP55 RP55 - 24.03.2012 15:54:02

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 24.03.2012 15:57:38

зачем эти лишние телодвижения с копированием реестра, ради поиска неизвестно чего.
--------------
возьми и проверь как долго (по времени) идет проверка поиска подстроки в реестре,
например в АВЗ это можно сделать
и оцени по времени, если таких ссылок на реестр в списке не одна, а с десяток, например.

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 24.03.2012 16:47:56

Если это все добавить в uVS, то создание образа займет такое же время как полная проверка системы с помощью CureIt!

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 25.03.2012 13:40:56

Арвид, повторилась уже здесь домашняя заготовка вирусописателей

Цитата
Полное имя COPY Имя файла COPY Тек. статус в автозапуске Сохраненная информация на момент создания образа Статус в автозапуске Ссылки на объект Ссылка C:\USERS\SERGEY\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\PFIJXA.LNK Ссылка HKEY_USERS\S-1-5-21-412197629-4246752671-3392714233-1000\Software\Microsoft\Windows\CurrentVersion\Run\gzpqy gzpqy cmd.exe /c copy "C:\Users\Sergey\AppData\Local\Temp\uivuu" "C:\WINDOWS\system32\drivers\etc\hosts" /Y && erase "C:\Users\Sergey\AppData\Local\Temp\rugryl.dll" && copy "\C:\Users\Sergey\AppData\Local\Temp\ibfpw" "%WINDIR%\system32\drivers\etc\hоsts" /Y && attrib +H "C\system32\drivers\etc\hosts"

Цитата

Полное имя COPY
Имя файла COPY
Тек. статус в автозапуске

Сохраненная информация на момент создания образа
Статус в автозапуске

Ссылки на объект
Ссылка C:\USERS\SERGEY\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\PFIJXA.LNK

Ссылка HKEY_USERS\S-1-5-21-412197629-4246752671-3392714233-1000\Software\Microsoft\Windows\CurrentVersion\Run\gzpqy
gzpqy cmd.exe /c copy "C:\Users\Sergey\AppData\Local\Temp\uivuu" "C:\WINDOWS\system32\drivers\etc\hosts" /Y && erase "C:\Users\Sergey\AppData\Local\Temp\rugryl.dll" && copy "\C:\Users\Sergey\AppData\Local\Temp\ibfpw" "%WINDIR%\system32\drivers\etc\hоsts" /Y && attrib +H "C\system32\drivers\etc\hosts"

http://forum.esetnod32.ru/forum6/topic4878/

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 25.03.2012 15:27:58

Что-то прорвало всех с этим Delf.OEW. И как ни странно обычно он встречается в паре с Carberp

Правильно заданный вопрос - это уже половина ответа

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 25.03.2012 19:24:25

Цитата
Арвид пишет: Что-то прорвало всех с этим Delf.OEW

Небольшое замечание по данному вирусу, нод не может обновить свои базы, сайт пингуется, но базы не в какую не обновлялись.
Так что я думаю это очередная замануха по типу Спай шиза, чтобы нод не смог обновить базы и удалить вирус.
Но как говорится, болт им!

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 25.03.2012 19:51:54

Цитата
zloyDi пишет: Небольшое замечание по данному вирусу, нод не может обновить свои базы, сайт пингуется, но базы не в какую не обновлялись. Так что я думаю это очередная замануха по типу Спай шиза, чтобы нод не смог обновить базы и удалить вирус. Но как говорится, болт им!

Цитата

zloyDi пишет:
Небольшое замечание по данному вирусу, нод не может обновить свои базы, сайт пингуется, но базы не в какую не обновлялись.
Так что я думаю это очередная замануха по типу Спай шиза, чтобы нод не смог обновить базы и удалить вирус.
Но как говорится, болт им!

по сути, через winsock он контролирует весь трафик.
то что нельзя обновить антивир,
может быть - это результат Carberp=а? ведь они как правило вместе в системе

[ Как создать образ автозапуска? ]

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 25.03.2012 19:55:26

Цитата
santy пишет: может быть - это результат Carberp=а? ведь они как правило вместе в системе

В четверг делал удаленку на зараженный ПК, был только Delf.OEW, Carberp не было! После удаления, нод спокойно обновился и с карантина вынес вирус.

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 25.03.2012 19:58:34

Цитата
zloyDi пишет: В четверг делал удаленку на зараженный ПК, был только Delf.OEW, Carberp не было! После удаления, нод спокойно обновился и с карантина вынес вирус.

а сеть не пропала после его удаления: или netsh использовал для восстановления winsock?

[ Как создать образ автозапуска? ]

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 25.03.2012 20:05:51

Ну решил не испытывать судьбу поскольку делал удаленку на ПК блондинки, добавлял команду netsh...

Пред. 1 ... 52 53 54 55 56 ... 167 След.