поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 149 150 151 152 153 ... 167 След.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 12.03.2020 23:02:13

В продолжение темы по блокировке антивирусов: https://forum.kasperskyclub.ru/index.php?s=5aea1018212e953d2711d79ac045f141&showtopic=64879

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 15.03.2020 15:18:42

Цитата
RP55 RP55 написал: В продолжение темы по блокировке антивирусов: https://forum.kasperskyclub.ru/index.php?s=5aea1018212e953d2711d79ac045f141&showtopic=64879

этот метод блокирования через ключ Debugger известен и давно используется троянами,
позабавило здесь другое.
что скрипт FRST получился на несколько листов, в то время как uVS это бы зачистил одной командой.

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 15.03.2020 22:57:47

Цитата
santy написал: скрипт FRST получился на несколько листов, в то время как uVS это бы зачистил одной командой.

А для того кто пишет скрипт нет разницы.
В тестовом редакторе это 10 секунд.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 16.03.2020 05:13:31

Цитата

RP55 RP55 написал:

Цитата
santy написал: скрипт FRST получился на несколько листов, в то время как uVS это бы зачистил одной командой.

А для того кто пишет скрипт нет разницы.
В тестовом редакторе это 10 секунд.

да, но некоторым операторам всегда это хочется делать в один клик и в одну строку

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.03.2020 18:26:00

Цитата
RP55 RP55 написал: В продолжение темы по блокировке антивирусов:

кстати, еще один известный способ блокировки запуска приложений. (в том числе и антивирусных)

Цитата
HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 1 HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [11] Cube.exe

Цитата

HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [11] Cube.exe

https://virusinfo.info/showthread.php?t=224678
+
еще один:

Цитата
O7 - Policy: [Untrusted Certificate] HKLM - 0A0CF21F2AD2796FCC1309F2993659FC9F4BBFB9 - Curio Systems GmbH O7 - Policy: [Untrusted Certificate] HKLM - 1518752920E9221E1FE1728AACAC536728B37BA7 - Trend Micro, Inc. O7 - Policy: [Untrusted Certificate] HKLM - 1B581436B0ED7536755B8B1C81112509A5AAF6ED - Panda Security S.L. O7 - Policy: [Untrusted Certificate] HKLM - 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF - G DATA Software AG O7 - Policy: [Untrusted Certificate] HKLM - 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF - Symantec Corporation O7 - Policy: [Untrusted Certificate] HKLM - 328E73F58737F1AB8DB0DA98FECFA17EB7BFAA40 - Bitdefender SRL O7 - Policy: [Untrusted Certificate] HKLM - 3C92C9274AB6D3DD520B13029A2490C4A1D98BC0 - Kaspersky Lab O7 - Policy: [Untrusted Certificate] HKLM - 4E393AA1586C93E0BC9E7FEBCF7BFB62066DC22A - Doctor Web Ltd. O7 - Policy: [Untrusted Certificate] HKLM - 4E564B9FBCE8F496FFF51278CCD14EE17F09A1CE - Lavasoft Software Canada O7 - Policy: [Untrusted Certificate] HKLM - 58939B78BC28EF464220127BB754E3D130306988 - AVG Technologies USA, Inc. O7 - Policy: [Untrusted Certificate] HKLM - 5AACB6A43D9D806E6963937BE702B7A43C1978AE - F-Secure Corporation O7 - Policy: [Untrusted Certificate] HKLM - 5DE56B2BAAA995F447949B869356528F91230A49 - VIPRE Security (ThreatTrack Security, Inc.) O7 - Policy: [Untrusted Certificate] HKLM - 7450C07722C75E711EF24209A22F0C5C6A5BEC4E - Trend Micro, Inc. O7 - Policy: [Untrusted Certificate] HKLM - 775B373B33B9D15B58BC02B184704332B97C3CAF - McAfee, Inc. O7 - Policy: [Untrusted Certificate] HKLM - 78C55D604474B534EB2B565CAD312FC7D71FE9DE - Webroot Inc. O7 - Policy: [Untrusted Certificate] HKLM - 816BE9397F66D1A26EFA04035BCA3BB9E3779740 - Malwarebytes Inc O7 - Policy: [Untrusted Certificate] HKLM - 8887AF2636E0D3B763AC4D56729218AF89653CA4 - Avira Operations GmbH & Co. KG O7 - Policy: [Untrusted Certificate] HKLM - 88AD5DFE24126872B33175D1778687B642323ACF - McAfee, Inc. O7 - Policy: [Untrusted Certificate] HKLM - 8B6DD299C6E4092040E98EB773F3818DF50B038D - Bitdefender SRL O7 - Policy: [Untrusted Certificate] HKLM - 8DC9FE53D5F1D7D558EBE131E922730780D88865 - ESET, spol. s r.o. O7 - Policy: [Untrusted Certificate] HKLM - 9A32249E9A6B9CF5C36B0749C81613524D37C594 - Safer-Networking Ltd. O7 - Policy: [Untrusted Certificate] HKLM - A5341949ABE1407DD7BF7DFE75460D9608FBC309 - BullGuard Ltd. O7 - Policy: [Untrusted Certificate] HKLM - AA8399A239AE1785200917D32C21F6B662477BE4 - K7 Computing Pvt Ltd O7 - Policy: [Untrusted Certificate] HKLM - AEEA60E86C66327BFBB8492C33122687AB2B5D91 - Support.com, Inc. O7 - Policy: [Untrusted Certificate] HKLM - B7E607E1FB8943C634580F621788C01C962E8280 - K7 Computing Pvt Ltd O7 - Policy: [Untrusted Certificate] HKLM - BDEEFEC5F002E281B2292A8C72EACA468CBF9952 - Emsisoft Ltd O7 - Policy: [Untrusted Certificate] HKLM - BE894F99B870DA5FCA623F7F4A85D3970A46CDE1 - Symantec Corporation O7 - Policy: [Untrusted Certificate] HKLM - BF9254919794C1075EA027889C5D304F1121C653 - Kaspersky Lab O7 - Policy: [Untrusted Certificate] HKLM - D70D7D00CA12E1B3E20F3BF7534DEB2C2E7C2404 - Comodo Security Solutions O7 - Policy: [Untrusted Certificate] HKLM - DBFAD9D59A6A07DCEB004DBE2DC246B547249E86 - Malwarebytes Inc O7 - Policy: [Untrusted Certificate] HKLM - E27AA5FFDCA62A60E435292A243D0C6D43DCC513 - Doctor Web Ltd. O7 - Policy: [Untrusted Certificate] HKLM - E4A0C1054F8025DD88EE5053094A9A61661AE123 - Webroot Inc. O7 - Policy: [Untrusted Certificate] HKLM - F75019695C0504E3ABEFEDCD8FBE500DA08EC8FA - AVAST Software s.r.o. O7 - Policy: [Untrusted Certificate] HKLM - F83099622B4A9F72CB5081F742164AD1B8D048C9 - ESET, spol. s r.o.

Цитата

O7 - Policy: [Untrusted Certificate] HKLM - 0A0CF21F2AD2796FCC1309F2993659FC9F4BBFB9 - Curio Systems GmbH
O7 - Policy: [Untrusted Certificate] HKLM - 1518752920E9221E1FE1728AACAC536728B37BA7 - Trend Micro, Inc.
O7 - Policy: [Untrusted Certificate] HKLM - 1B581436B0ED7536755B8B1C81112509A5AAF6ED - Panda Security S.L.
O7 - Policy: [Untrusted Certificate] HKLM - 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF - G DATA Software AG
O7 - Policy: [Untrusted Certificate] HKLM - 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF - Symantec Corporation
O7 - Policy: [Untrusted Certificate] HKLM - 328E73F58737F1AB8DB0DA98FECFA17EB7BFAA40 - Bitdefender SRL
O7 - Policy: [Untrusted Certificate] HKLM - 3C92C9274AB6D3DD520B13029A2490C4A1D98BC0 - Kaspersky Lab
O7 - Policy: [Untrusted Certificate] HKLM - 4E393AA1586C93E0BC9E7FEBCF7BFB62066DC22A - Doctor Web Ltd.
O7 - Policy: [Untrusted Certificate] HKLM - 4E564B9FBCE8F496FFF51278CCD14EE17F09A1CE - Lavasoft Software Canada
O7 - Policy: [Untrusted Certificate] HKLM - 58939B78BC28EF464220127BB754E3D130306988 - AVG Technologies USA, Inc.
O7 - Policy: [Untrusted Certificate] HKLM - 5AACB6A43D9D806E6963937BE702B7A43C1978AE - F-Secure Corporation
O7 - Policy: [Untrusted Certificate] HKLM - 5DE56B2BAAA995F447949B869356528F91230A49 - VIPRE Security (ThreatTrack Security, Inc.)
O7 - Policy: [Untrusted Certificate] HKLM - 7450C07722C75E711EF24209A22F0C5C6A5BEC4E - Trend Micro, Inc.
O7 - Policy: [Untrusted Certificate] HKLM - 775B373B33B9D15B58BC02B184704332B97C3CAF - McAfee, Inc.
O7 - Policy: [Untrusted Certificate] HKLM - 78C55D604474B534EB2B565CAD312FC7D71FE9DE - Webroot Inc.
O7 - Policy: [Untrusted Certificate] HKLM - 816BE9397F66D1A26EFA04035BCA3BB9E3779740 - Malwarebytes Inc
O7 - Policy: [Untrusted Certificate] HKLM - 8887AF2636E0D3B763AC4D56729218AF89653CA4 - Avira Operations GmbH & Co. KG
O7 - Policy: [Untrusted Certificate] HKLM - 88AD5DFE24126872B33175D1778687B642323ACF - McAfee, Inc.
O7 - Policy: [Untrusted Certificate] HKLM - 8B6DD299C6E4092040E98EB773F3818DF50B038D - Bitdefender SRL
O7 - Policy: [Untrusted Certificate] HKLM - 8DC9FE53D5F1D7D558EBE131E922730780D88865 - ESET, spol. s r.o.
O7 - Policy: [Untrusted Certificate] HKLM - 9A32249E9A6B9CF5C36B0749C81613524D37C594 - Safer-Networking Ltd.
O7 - Policy: [Untrusted Certificate] HKLM - A5341949ABE1407DD7BF7DFE75460D9608FBC309 - BullGuard Ltd.
O7 - Policy: [Untrusted Certificate] HKLM - AA8399A239AE1785200917D32C21F6B662477BE4 - K7 Computing Pvt Ltd
O7 - Policy: [Untrusted Certificate] HKLM - AEEA60E86C66327BFBB8492C33122687AB2B5D91 - Support.com, Inc.
O7 - Policy: [Untrusted Certificate] HKLM - B7E607E1FB8943C634580F621788C01C962E8280 - K7 Computing Pvt Ltd
O7 - Policy: [Untrusted Certificate] HKLM - BDEEFEC5F002E281B2292A8C72EACA468CBF9952 - Emsisoft Ltd
O7 - Policy: [Untrusted Certificate] HKLM - BE894F99B870DA5FCA623F7F4A85D3970A46CDE1 - Symantec Corporation
O7 - Policy: [Untrusted Certificate] HKLM - BF9254919794C1075EA027889C5D304F1121C653 - Kaspersky Lab
O7 - Policy: [Untrusted Certificate] HKLM - D70D7D00CA12E1B3E20F3BF7534DEB2C2E7C2404 - Comodo Security Solutions
O7 - Policy: [Untrusted Certificate] HKLM - DBFAD9D59A6A07DCEB004DBE2DC246B547249E86 - Malwarebytes Inc
O7 - Policy: [Untrusted Certificate] HKLM - E27AA5FFDCA62A60E435292A243D0C6D43DCC513 - Doctor Web Ltd.
O7 - Policy: [Untrusted Certificate] HKLM - E4A0C1054F8025DD88EE5053094A9A61661AE123 - Webroot Inc.
O7 - Policy: [Untrusted Certificate] HKLM - F75019695C0504E3ABEFEDCD8FBE500DA08EC8FA - AVAST Software s.r.o.
O7 - Policy: [Untrusted Certificate] HKLM - F83099622B4A9F72CB5081F742164AD1B8D048C9 - ESET, spol. s r.o.

https://virusinfo.info/showthread.php?t=224672

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 20.03.2020 11:58:39

santy

А, что можно сказать по этому поводу ?

FirewallRules: [UDP Query User{110B8FE2-0C9F-4716-93B6-1B348EBD4CCE}C:\users\2\appdata\local\mozilla firefox\firefox.exe] => (Block) C:\users\2\appdata\local\mozilla firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [TCP Query User{A521131B-3100-4B18-A30C-EFA4E1A03076}C:\users\2\appdata\local\mozilla firefox\firefox.exe] => (Block) C:\users\2\appdata\local\mozilla firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [TCP Query User{A6C61E90-0393-4772-A909-DFE607097925}C:\users\2\appdata\local\mozilla firefox\plugin-container.exe] => (Block) C:\users\2\appdata\local\mozilla firefox\plugin-container.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [UDP Query User{A2B944EF-E216-4FE4-A701-A93C0D664ECC}C:\users\2\appdata\local\mozilla firefox\plugin-container.exe] => (Block) C:\users\2\appdata\local\mozilla firefox\plugin-container.exe (Mozilla Corporation -> Mozilla Corporation)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 20.03.2020 13:02:08

это другое,
это не блокировка запуска FF как приложения, но блокировка FF по выходу в сеть.
т.е. юзер должен открыть брэндмауэр, и посмотреть что там за правила добавлены, которые мешают выходу в сеть FF

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 20.03.2020 15:10:41

Цитата
santy написал: это не блокировка запуска FF как приложения, но блокировка FF по выходу в сеть.

А цель... Не дать скачать антивирус, обратиться за помощью ?
И как эта блокировка была выполнена ?
И как бы это видеть\устранять в uVS...

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 20.03.2020 15:35:43

Цитата

RP55 RP55 написал:

Цитата
santy написал: это не блокировка запуска FF как приложения, но блокировка FF по выходу в сеть.

сложно судить о цели в контексте 3-4 строчек лога
правила можно автоматически добавить скриптами через wmic или netsh
правила брэндмауэра - нет такой секции в uVS.
а если юзер использует продукт класса Internet Security то и незачем.

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 20.03.2020 15:50:48

Цитата
santy написал: сложно судить о цели в контексте 3-4 строчек лога

Если бы у человека был один современный браузер и один устаревший\уязвимый - тогда блокируя один дяденьки вынуждают его использовать уязвимый.

Прикрепленные файлы

Addition.txt (54.29 КБ)
FRST.txt (117.48 КБ)

Пред. 1 ... 149 150 151 152 153 ... 167 След.