поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 70 71 72 73 74 ... 167 След.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 05.07.2012 15:24:18

Цитата
Арвид пишет: Форум все-таки их, а не мой.

А, свой небольшой сайт по лечению открыть ?

___________________________

zloyDi
Есть подвижки по ESET & uVS > Sha1 - ?

Изменено: RP55 RP55 - 05.07.2012 16:31:37

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 05.07.2012 15:25:21

RP55 RP55,
одному скучно:) да и не смыслю я в сайтостроении

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 05.07.2012 15:38:25

Посмотрим

Кстати, гляньте этот образ
http://forum.esetnod32.ru/messages/forum6/topic6205/message47586/#message47586
Вирус

Цитата
Полное имя C:\USERS\ROOT\APPDATA\ROAMING\HVGB5Z69HR.EXE Имя файла HVGB5Z69HR.EXE Тек. статус ПРОВЕРЕННЫЙ в автозапуске Удовлетворяет критериям АВТОЗАПУСК ССЫЛКА: HKEY_USERS\S-1-5-21-135592241-692223145-1926376974-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\MMMMMK www.virustotal.com 2012-06-27 [2010-05-04 00:51:17 UTC ( 2 years, 2 months ago )] TheHacker W32/Behav-Heuristic-CorruptFile-EP F-Prot W32/Damaged_File.B.gen!Eldorado TrendMicro-HouseCall TROJ_GEN.R47H1LD Comodo Heur.Corrupt.PE Commtouch W32/Damaged_File.B.gen!Eldorado AVG Suspicion: unknown virus Сохраненная информация на момент создания образа Статус ПРОВЕРЕННЫЙ в автозапуске Размер 1169224 байт Создан 14.07.2009 в 03:46:42 Изменен 11.06.2009 в 04:23:22 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Действительна, подписано Microsoft Corporation Оригинальное имя vbc.exe Версия файла 8.0.50727.4927 Описание Visual Basic Command Line Compiler Copyright © Microsoft Corporation. All rights reserved. Производитель Microsoft Corporation Доп. информация на момент обновления списка SHA1 750D74424E8FCA55094BBCD264970DA6E59DDC09 MD5 AEEC0405A1C587562275AB20CC6E3521 Ссылки на объект Ссылка HKEY_USERS\S-1-5-21-135592241-692223145-1926376974-1000\Software\Microsoft\Windows\CurrentVersion\Run\MMMMMK MMMMMK C:\Users\root\AppData\Roaming\HVGB5Z69HR.exe Ссылка HKEY_USERS\S-1-5-21-135592241-692223145-1926376974-1000\Software\Microsoft\Active Setup\Installed Components\{0EDEA0EA-AC0B-DDD7-CDB7-CB4BB0C5CDB9}\StubPath StubPath C:\Users\root\AppData\Roaming\HVGB5Z69HR.exe

Цитата

Полное имя C:\USERS\ROOT\APPDATA\ROAMING\HVGB5Z69HR.EXE
Имя файла HVGB5Z69HR.EXE
Тек. статус ПРОВЕРЕННЫЙ в автозапуске

Удовлетворяет критериям
АВТОЗАПУСК ССЫЛКА: HKEY_USERS\S-1-5-21-135592241-692223145-1926376974-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\MMMMMK

www.virustotal.com 2012-06-27 [2010-05-04 00:51:17 UTC ( 2 years, 2 months ago )]
TheHacker W32/Behav-Heuristic-CorruptFile-EP
F-Prot W32/Damaged_File.B.gen!Eldorado
TrendMicro-HouseCall TROJ_GEN.R47H1LD
Comodo Heur.Corrupt.PE
Commtouch W32/Damaged_File.B.gen!Eldorado
AVG Suspicion: unknown virus

Сохраненная информация на момент создания образа
Статус ПРОВЕРЕННЫЙ в автозапуске
Размер 1169224 байт
Создан 14.07.2009 в 03:46:42
Изменен 11.06.2009 в 04:23:22
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано Microsoft Corporation

Оригинальное имя vbc.exe
Версия файла 8.0.50727.4927
Описание Visual Basic Command Line Compiler
Copyright © Microsoft Corporation. All rights reserved.
Производитель Microsoft Corporation

Доп. информация на момент обновления списка
SHA1 750D74424E8FCA55094BBCD264970DA6E59DDC09
MD5 AEEC0405A1C587562275AB20CC6E3521

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-135592241-692223145-1926376974-1000\Software\Microsoft\Windows\CurrentVersion\Run\MMMMMK
MMMMMK C:\Users\root\AppData\Roaming\HVGB5Z69HR.exe

Ссылка HKEY_USERS\S-1-5-21-135592241-692223145-1926376974-1000\Software\Microsoft\Active Setup\Installed Components\{0EDEA0EA-AC0B-DDD7-CDB7-CB4BB0C5CDB9}\StubPath
StubPath C:\Users\root\AppData\Roaming\HVGB5Z69HR.exe

http://systemexplorer.net/file-database/files?filter=750D74424E8FCA55094BBCD264970DA6E59DDC09

Изменено: Арвид - 05.07.2012 15:39:15

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 05.07.2012 15:44:40

C:\USERS\ROOT\APPDATA\ROAMING\HVGB5Z69HR.EXE
SHA1: 750D74424E8FCA55094BBCD264970DA6E59DDC09
Хэш найден в базе проверенных файлов, файл помечен как проверенный.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 05.07.2012 15:45:44

По любому зловред. Гляньте его другие имена на System Explorer

Цитата
catalyst.exe explorer.exe msnmsg.exe opengl.exe servaer.exe service.exe svchost.exe svhost.exe syshost.exe taskmgr.exe tr50qzwf.exe vbc.exe wbmdseaw.exe winlog.exe winlog0n.exe winupdate.exe

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 05.07.2012 15:56:35

Цитата
Арвид пишет: По любому зловред.

Нужен файл и вердикт на него от Vir.Lab.ESET

Изменено: RP55 RP55 - 05.07.2012 15:56:51

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 05.07.2012 15:59:18

Арвид
Если это...
И если он действительно подписан Microsoft Corporation...
И в течении нескольких лет вёл сбор данных...
Значит...

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 05.07.2012 16:03:46

Проверка файла в мае (файл чист):
http://r.virscan.org/892f0a1c141ee6b9b156cef1db047b94
Проверка файла через месяц:
https://www.virustotal.com/file/6b2a3715c52c33b1f4d6523d673e3cdc9b5bc4ef8ac4b8b3211a0149f30c1200/analysis/
Возможно очередной модуль Flame

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 05.07.2012 16:15:11

Это вирус.

Теперь нужны данные по цифровой подписи.

http://r.virscan.org/199c3d7552591dd8652b881dc06229d7

File Name : firefox.exe
File Size : 1169224 byte
File Type : PE32 executable for MS Windows (console) Intel 80386 32-bit
MD5 : aeec0405a1c587562275ab20cc6e3521
SHA1 : 750d74424e8fca55094bbcd264970da6e59ddc09

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.07.2012 16:27:54

Арвид, вот это я не понял, откуда?

Цитата
www.virustotal.com 2012-06-27 [2010-05-04 00:51:17 UTC ( 2 years, 2 months ago )] TheHacker W32/Behav-Heuristic-CorruptFile-EP F-Prot W32/Damaged_File.B.gen!Eldorado TrendMicro-HouseCall TROJ_GEN.R47H1LD Comodo Heur.Corrupt.PE Commtouch W32/Damaged_File.B.gen!Eldorado AVG Suspicion: unknown virus

у меня по хэшу - чисто. причем в списке sha1 разработчика.

Изменено: santy - 05.07.2012 16:30:42

[ Как создать образ автозапуска? ]

Пред. 1 ... 70 71 72 73 74 ... 167 След.