поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 71 72 73 74 75 ... 167 След.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 05.07.2012 16:31:42

Цитата
santy пишет: у меня по хэшу - чисто

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.07.2012 16:34:12

ты удалил его из списка sha1 и проверил?

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 05.07.2012 16:34:53

Зачем его удалять оттуда? У меня изначально он в подозрительных. Я проверку на VT сделал через меню.

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.07.2012 16:38:37

Цитата
C:\USERS\ROOT\APPDATA\ROAMING\HVGB5Z69HR.EXE SHA1: 750D74424E8FCA55094BBCD264970DA6E59DDC09 Хэш найден в базе проверенных файлов, файл помечен как проверенный -------------------------------------------------------- C:\USERS\ROOT\APPDATA\ROAMING\HVGB5Z69HR.EXE Дата: 2012-06-27 [2010-05-04 00:51:17 UTC ( 2 years, 2 months ago )] Имя: server.e123456 Детектов: 0 из 8 Файл был чист на момент проверки. --------------------------------------------------------

Цитата

C:\USERS\ROOT\APPDATA\ROAMING\HVGB5Z69HR.EXE
SHA1: 750D74424E8FCA55094BBCD264970DA6E59DDC09
Хэш найден в базе проверенных файлов, файл помечен как проверенный
--------------------------------------------------------
C:\USERS\ROOT\APPDATA\ROAMING\HVGB5Z69HR.EXE
Дата: 2012-06-27 [2010-05-04 00:51:17 UTC ( 2 years, 2 months ago )]
Имя: server.e123456
Детектов: 0 из 8
Файл был чист на момент проверки.
--------------------------------------------------------

а ну , понятно. у меня фильтр по списку проверяемых антивирусов. файл подозрительный конечно, но не факт (100%), что вредоносный.

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 05.07.2012 16:40:06

что-то я не понял - у меня проверка была произведена 42 антивирусами, а у тебя 8. что это?

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.07.2012 16:41:45

это фильтр в uVS по результату на VT. в инфо выводится только детект тех антивирусов, которые есть в этом списке.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.07.2012 16:45:50

по идее, надо бы его в основные вирлабы заслать, чтобы проанализировали.

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 05.07.2012 16:46:20

пускай человек в теме отпишется, попросим зоопарк

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.07.2012 16:52:16

virusscan
http://virusscan.jotti.org/ru/scanresult/d985e0280d43e398d7c0ffe8f0e4c1b1796e6d27
и размер для трояна приличный

Цитата
Размер файла: 1169224 байт Тип файла: PE32 executable for MS Windows (console) Intel 80386 32-bit MD5: aeec0405a1c587562275ab20cc6e3521 SHA1: 750d74424e8fca55094bbcd264970da6e59ddc09

Изменено: santy - 05.07.2012 16:52:32

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 05.07.2012 16:59:12

1. место расположение файла подозрительное (+в автозапуске он)
2. все-таки 6 детектов было неделю назад
3. ооочень подозрительные другие имена именно этого файла

Правильно заданный вопрос - это уже половина ответа

Пред. 1 ... 71 72 73 74 75 ... 167 След.