поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 72 73 74 75 76 ... 167 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.07.2012 17:00:18

да, 1 и 3 сильно внушают подозрение.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.07.2012 17:01:40

RP55, зачем еще раз дублировать инфо

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 05.07.2012 17:05:40

Цитата
santy пишет: Зачем еще раз дублировать инфо

Разное время проверки - разные результаты на V.T.
Одно точно - это вирус.
Просто файл вообще не проверяют !
Снимают детект, как ложный...
Проверили...
Есть подпись...
И пошло...

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 05.07.2012 17:06:38

+
Ошибка :
Для: "Удалить хэш файла из базы проверенных"
Не работает...
--------------------------------------------------------
C:\USERS\ROOT\APPDATA\ROAMING\HVGB5Z69HR.EXE
SHA1: 750D74424E8FCA55094BBCD264970DA6E59DDC09
Хэш найден в базе проверенных файлов, файл помечен как проверенный
--------------------------------------------------------
Если отдать команду: Удалить хэш файла из базы проверенных"
Получим результат: "Хэш НЕ найден в базе проверенных файлов"

При условии, что база расположена по адресу: \uvs_v375\SHA

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.07.2012 17:08:05

вирусом его можно назвать, только если снять некоторые вопросы:
1. почему он имеет подпись Микрософт,
2. почему он попал в список sha1
3. выяснить, какие деструктивные действия он выполняет в системе.
----------

Изменено: santy - 05.07.2012 17:10:42

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 05.07.2012 17:11:18

А вы что не в курсе что Flame имеет цифровые подписи MS?

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.07.2012 17:16:06

Цитата
Арвид пишет: А вы что не в курсе что Flame имеет цифровые подписи MS?

В курсе, вот только среда обитания флейма все больше на Ближнем Востоке.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.07.2012 17:21:00

здесь можно пока проверить файл
http://camas.comodo.com/
и здесь
http://anubis.iseclab.org/?action=advanced_form

Изменено: santy - 05.07.2012 17:22:08

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 05.07.2012 17:21:44

Интереснее проверять самому на рабочей виртуалке. Ждем тот файл.

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.07.2012 17:22:37

Цитата
Арвид пишет: Интереснее проверять самому на рабочей виртуалке. Ждем тот файл.

и это тоже не исключается.

[ Как создать образ автозапуска? ]

Пред. 1 ... 72 73 74 75 76 ... 167 След.