поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 66 67 68 69 70 ... 167 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 20.06.2012 12:20:37

т.е. непонятно, откуда человек его скачал, может и не с оф. сайта.

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 20.06.2012 12:21:54

Видимо чтение подписи не произвелось. Может из-за размера файла. Я вообще не помню чтоб uVS считывал все данные о CureIt, но по размеру видно что это не вирус

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 20.06.2012 12:23:50

Цитата
santy пишет: т.е. непонятно, откуда человек его скачал, может и не с оф. сайта.

с оф.сайта
http://topdownloads.ru/programs/todayfile/486832224.htm

Цитата
Имя файла: e58usfw4.exe Найти похожие » Размер: 87 405 408 байт (83.36 MБ)

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 20.06.2012 12:24:29

нет, довольно таки часто я обращаю на это внимание, что uVS показывает подпись у Курита. скачай свежий файл, проверь.
-----
доводи до конца лечение, я сейчас скачаю свежий Cureit, проверим его в uVS

Изменено: santy - 20.06.2012 12:29:00

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 20.06.2012 12:42:13

Проверил. Считалась подпись.

Цитата
Полное имя F:\DOCUMENTS AND SETTINGS\ADMIN\МОИ ДОКУМЕНТЫ\2LQAVE8R.EXE Имя файла 2LQAVE8R.EXE Тек. статус ?ВИРУС? ПРОВЕРЕННЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске Удовлетворяет критериям АВТОЗАПУСК ССЫЛКА: HKEY_USERS\S-1-5-21-73586283-2139871995-1644491937-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\2LQAVE8R Сохраненная информация на момент создания образа Статус ПРОВЕРЕННЫЙ в автозапуске Размер 91247448 байт Создан 20.06.2012 в 11:30:36 Изменен 20.06.2012 в 11:31:33 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Действительна, подписано Doctor Web Ltd. Доп. информация на момент обновления списка SHA1 DD77F1162F322E5B5FEBD1981B6E53E3663ABF14 MD5 035D7D8A0F02191E1AFBCAF138FB6EDC Ссылки на объект Ссылка HKEY_USERS\S-1-5-21-73586283-2139871995-1644491937-500\Software\Microsoft\Windows\CurrentVersion\Run\2lqave8r 2lqave8r "F:\Documents and Settings\Admin\Мои документы\2lqave8r.exe"

Цитата

Полное имя F:\DOCUMENTS AND SETTINGS\ADMIN\МОИ ДОКУМЕНТЫ\2LQAVE8R.EXE
Имя файла 2LQAVE8R.EXE
Тек. статус ?ВИРУС? ПРОВЕРЕННЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
АВТОЗАПУСК ССЫЛКА: HKEY_USERS\S-1-5-21-73586283-2139871995-1644491937-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\2LQAVE8R

Сохраненная информация на момент создания образа
Статус ПРОВЕРЕННЫЙ в автозапуске
Размер 91247448 байт
Создан 20.06.2012 в 11:30:36
Изменен 20.06.2012 в 11:31:33
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано Doctor Web Ltd.

Доп. информация на момент обновления списка
SHA1 DD77F1162F322E5B5FEBD1981B6E53E3663ABF14
MD5 035D7D8A0F02191E1AFBCAF138FB6EDC

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-73586283-2139871995-1644491937-500\Software\Microsoft\Windows\CurrentVersion\Run\2lqave8r
2lqave8r "F:\Documents and Settings\Admin\Мои документы\2lqave8r.exe"

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 20.06.2012 12:47:01

угу, я тоже проверил.

Цитата
Полное имя F:\МОИ ДОКУМЕНТЫ\DOWNLOADS\W9N39ZH4.EXE Имя файла W9N39ZH4.EXE Тек. статус ПРОВЕРЕННЫЙ добавлен вручную Сохраненная информация на момент создания образа Статус ПРОВЕРЕННЫЙ добавлен вручную Размер 86954264 байт Создан 20.06.2012 в 15:30:46 Изменен 20.06.2012 в 15:31:57 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Действительна, подписано Doctor Web Ltd. Доп. информация на момент обновления списка SHA1 0F8427EC58DA9C5A1EB17477011EBEAE7EBD6E6F MD5 59F6BC89BD60B10970DCEEDD397C6342

Цитата

Полное имя F:\МОИ ДОКУМЕНТЫ\DOWNLOADS\W9N39ZH4.EXE
Имя файла W9N39ZH4.EXE
Тек. статус ПРОВЕРЕННЫЙ добавлен вручную

Сохраненная информация на момент создания образа
Статус ПРОВЕРЕННЫЙ добавлен вручную
Размер 86954264 байт
Создан 20.06.2012 в 15:30:46
Изменен 20.06.2012 в 15:31:57
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано Doctor Web Ltd.

Доп. информация на момент обновления списка
SHA1 0F8427EC58DA9C5A1EB17477011EBEAE7EBD6E6F
MD5 59F6BC89BD60B10970DCEEDD397C6342

возможно ошибка была при проверке сертификата.

Изменено: santy - 20.06.2012 12:47:33

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.06.2012 07:59:36

Anubis: Analyzing Unknown Binaries

Цитата
Anubis is a service for analyzing malware. Submit your Windows executable or Android APK and receive an analysis report telling you what it does. Alternatively, submit a suspicious URL and receive a report that shows you all the activities of the Internet Explorer process when visiting this URL.

http://anubis.iseclab.org/?action=home

http://anubis.iseclab.org/?action=about

Изменено: santy - 21.06.2012 08:02:01

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.06.2012 16:23:59

ребята, перепроверяйте скрипт, если есть заминка по ходу лечения.
http://forum.esetnod32.ru/forum27/topic6066/

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 21.06.2012 21:57:17

Цитата
santy пишет: Ребята, перепроверяйте скрипт, если есть заминка по ходу лечения.

Santy
Сразу вспоминается фраза: " ~~Пастернака~~ не читал но осуждаю"

Изменено: RP55 RP55 - 21.06.2012 22:01:18

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 22.06.2012 06:11:13

Цитата
RP55 RP55 пишет: Сразу вспоминается фраза: " Пастернака не читал но осуждаю"

RP55, если бы ты в каше этой поварился, так как мы, возможно стал бы ценить время, за которое мысль должна быть доведена до понимания.

[ Как создать образ автозапуска? ]

Пред. 1 ... 66 67 68 69 70 ... 167 След.