поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

В продолжение темы по блокировке антивирусов: https://forum.kasperskyclub.ru/index.php?s=5aea1018212e953d2711d79ac045f141&showtopic=64879
Цитата
RP55 RP55 написал:
В продолжение темы по блокировке антивирусов:  https://forum.kasperskyclub.ru/index.php?s=5aea1018212e953d2711d79ac045f141&showtopic=64879
этот метод блокирования через ключ Debugger известен и давно используется троянами,
позабавило здесь другое.
что скрипт FRST получился на несколько листов, в то время как uVS это бы зачистил одной командой.
Цитата
santy написал:
скрипт FRST получился на несколько листов, в то время как uVS это бы зачистил одной командой.

А для того кто пишет скрипт нет разницы.
В тестовом редакторе это 10 секунд.
Цитата
RP55 RP55 написал:
Цитата
 santy  написал:
скрипт FRST получился на несколько листов, в то время как uVS это бы зачистил одной командой.
А для того кто пишет скрипт нет разницы.
В тестовом редакторе это 10 секунд.
да, но некоторым операторам всегда это хочется делать в один клик и в одну строку
Цитата
RP55 RP55 написал:
В продолжение темы по блокировке антивирусов:  
кстати, еще один известный способ блокировки запуска приложений. (в том числе и антивирусных)

Цитата
HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [11] Cube.exe
https://virusinfo.info/showthread.php?t=224678
+
еще один:
Цитата
O7 - Policy: [Untrusted Certificate] HKLM - 0A0CF21F2AD2796FCC1309F2993659FC9F4BBFB9 - Curio Systems GmbH
O7 - Policy: [Untrusted Certificate] HKLM - 1518752920E9221E1FE1728AACAC536728B37BA7 - Trend Micro, Inc.
O7 - Policy: [Untrusted Certificate] HKLM - 1B581436B0ED7536755B8B1C81112509A5AAF6ED - Panda Security S.L.
O7 - Policy: [Untrusted Certificate] HKLM - 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF - G DATA Software AG
O7 - Policy: [Untrusted Certificate] HKLM - 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF - Symantec Corporation
O7 - Policy: [Untrusted Certificate] HKLM - 328E73F58737F1AB8DB0DA98FECFA17EB7BFAA40 - Bitdefender SRL
O7 - Policy: [Untrusted Certificate] HKLM - 3C92C9274AB6D3DD520B13029A2490C4A1D98BC0 - Kaspersky Lab
O7 - Policy: [Untrusted Certificate] HKLM - 4E393AA1586C93E0BC9E7FEBCF7BFB62066DC22A - Doctor Web Ltd.
O7 - Policy: [Untrusted Certificate] HKLM - 4E564B9FBCE8F496FFF51278CCD14EE17F09A1CE - Lavasoft Software Canada
O7 - Policy: [Untrusted Certificate] HKLM - 58939B78BC28EF464220127BB754E3D130306988 - AVG Technologies USA, Inc.
O7 - Policy: [Untrusted Certificate] HKLM - 5AACB6A43D9D806E6963937BE702B7A43C1978AE - F-Secure Corporation
O7 - Policy: [Untrusted Certificate] HKLM - 5DE56B2BAAA995F447949B869356528F91230A49 - VIPRE Security (ThreatTrack Security, Inc.)
O7 - Policy: [Untrusted Certificate] HKLM - 7450C07722C75E711EF24209A22F0C5C6A5BEC4E - Trend Micro, Inc.
O7 - Policy: [Untrusted Certificate] HKLM - 775B373B33B9D15B58BC02B184704332B97C3CAF - McAfee, Inc.
O7 - Policy: [Untrusted Certificate] HKLM - 78C55D604474B534EB2B565CAD312FC7D71FE9DE - Webroot Inc.
O7 - Policy: [Untrusted Certificate] HKLM - 816BE9397F66D1A26EFA04035BCA3BB9E3779740 - Malwarebytes Inc
O7 - Policy: [Untrusted Certificate] HKLM - 8887AF2636E0D3B763AC4D56729218AF89653CA4 - Avira Operations GmbH & Co. KG
O7 - Policy: [Untrusted Certificate] HKLM - 88AD5DFE24126872B33175D1778687B642323ACF - McAfee, Inc.
O7 - Policy: [Untrusted Certificate] HKLM - 8B6DD299C6E4092040E98EB773F3818DF50B038D - Bitdefender SRL
O7 - Policy: [Untrusted Certificate] HKLM - 8DC9FE53D5F1D7D558EBE131E922730780D88865 - ESET, spol. s r.o.
O7 - Policy: [Untrusted Certificate] HKLM - 9A32249E9A6B9CF5C36B0749C81613524D37C594 - Safer-Networking Ltd.
O7 - Policy: [Untrusted Certificate] HKLM - A5341949ABE1407DD7BF7DFE75460D9608FBC309 - BullGuard Ltd.
O7 - Policy: [Untrusted Certificate] HKLM - AA8399A239AE1785200917D32C21F6B662477BE4 - K7 Computing Pvt Ltd
O7 - Policy: [Untrusted Certificate] HKLM - AEEA60E86C66327BFBB8492C33122687AB2B5D91 - Support.com, Inc.
O7 - Policy: [Untrusted Certificate] HKLM - B7E607E1FB8943C634580F621788C01C962E8280 - K7 Computing Pvt Ltd
O7 - Policy: [Untrusted Certificate] HKLM - BDEEFEC5F002E281B2292A8C72EACA468CBF9952 - Emsisoft Ltd
O7 - Policy: [Untrusted Certificate] HKLM - BE894F99B870DA5FCA623F7F4A85D3970A46CDE1 - Symantec Corporation
O7 - Policy: [Untrusted Certificate] HKLM - BF9254919794C1075EA027889C5D304F1121C653 - Kaspersky Lab
O7 - Policy: [Untrusted Certificate] HKLM - D70D7D00CA12E1B3E20F3BF7534DEB2C2E7C2404 - Comodo Security Solutions
O7 - Policy: [Untrusted Certificate] HKLM - DBFAD9D59A6A07DCEB004DBE2DC246B547249E86 - Malwarebytes Inc
O7 - Policy: [Untrusted Certificate] HKLM - E27AA5FFDCA62A60E435292A243D0C6D43DCC513 - Doctor Web Ltd.
O7 - Policy: [Untrusted Certificate] HKLM - E4A0C1054F8025DD88EE5053094A9A61661AE123 - Webroot Inc.
O7 - Policy: [Untrusted Certificate] HKLM - F75019695C0504E3ABEFEDCD8FBE500DA08EC8FA - AVAST Software s.r.o.
O7 - Policy: [Untrusted Certificate] HKLM - F83099622B4A9F72CB5081F742164AD1B8D048C9 - ESET, spol. s r.o.

https://virusinfo.info/showthread.php?t=224672
santy

А, что можно сказать по этому поводу ?

FirewallRules: [UDP Query User{110B8FE2-0C9F-4716-93B6-1B348EBD4CCE}C:\users\2\appdata\local\mozilla firefox\firefox.exe] => (Block) C:\users\2\appdata\local\mozilla firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [TCP Query User{A521131B-3100-4B18-A30C-EFA4E1A03076}C:\users\2\appdata\local\mozilla firefox\firefox.exe] => (Block) C:\users\2\appdata\local\mozilla firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [TCP Query User{A6C61E90-0393-4772-A909-DFE607097925}C:\users\2\appdata\local\mozilla firefox\plugin-container.exe] => (Block) C:\users\2\appdata\local\mozilla firefox\plugin-container.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [UDP Query User{A2B944EF-E216-4FE4-A701-A93C0D664ECC}C:\users\2\appdata\local\mozilla firefox\plugin-container.exe] => (Block) C:\users\2\appdata\local\mozilla firefox\plugin-container.exe (Mozilla Corporation -> Mozilla Corporation)
это другое,
это не блокировка запуска FF как приложения, но блокировка FF  по выходу в сеть.
т.е. юзер должен открыть брэндмауэр, и посмотреть что там за правила добавлены, которые мешают выходу в сеть FF
Цитата
santy написал:
это не блокировка запуска FF как приложения, но блокировка FF  по выходу в сеть.

А цель...  Не дать скачать антивирус, обратиться за помощью ?
И как эта блокировка была  выполнена ?
И как бы это видеть\устранять в uVS...
Цитата
RP55 RP55 написал:
Цитата
 santy  написал:
это не блокировка запуска FF как приложения, но блокировка FF  по выходу в сеть.
А цель...  Не дать скачать антивирус, обратиться за помощью ?
И как эта блокировка была  выполнена ?
И как бы это видеть\устранять в uVS...
сложно судить о цели в контексте 3-4 строчек лога
правила можно автоматически добавить скриптами через wmic или netsh
правила брэндмауэра -  нет такой секции в uVS.
а если юзер использует продукт класса Internet Security то и незачем.
Цитата
santy написал:
сложно судить о цели в контексте 3-4 строчек лога

Если бы у человека был один современный браузер и один устаревший\уязвимый - тогда блокируя один дяденьки вынуждают его использовать уязвимый.
Читают тему (гостей: 2)