Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

поговорить о uVS, Carberp, планете Земля

RSS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.11.2011 19:06:42
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 107 108 109 110 111 ... 167 След.
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 05.08.2013 20:08:29
Читаю тут одну книжку.
Несколько выдержек.
-------------------------------
¦ rundll32.exe SYSSETUP.dll, SetupOobeCleanup — вызов данной команды очищает наиболее важные файлы операционной системы. При этом удаляются и заново создаются (на основе текущих настроек операционной системы) все кусты реестра, а также удаляются различные ТМР-файлы.

После применения функций из библиотеки SYSSETUP.dll могут быть заменены стандартные системные файлы, поэтому все установленные в операционной системе заплаты и пакеты обновлений придется переустановить заново.

С помощью команд rundll32.exe можно удалить каталог или файл. Для этого достаточно воспользоваться приведенной далее командой: rundll32.exe ADVPACK.dll, DelNodeRunDLL32 «путь к кaтaлогу или файлу». Функция DelNodeRunDLL32 была написана специально для вызова с помощью команды rundll32.exe, поэтому никаких ошибок при своей работе она не выдает.
-----------
Интересная возможность, которую можно использовать при разработке файлов сценариев, — выполнение команд, записанных в ветви реестра. Для этого применяются функции библиотеки ADVPACK.dll. Например, после выполнения команды rundll32.exe ADVPACK.dll, UserInstStubWrapper «подраздел» система выполнит строку, содержащуюся в параметре строкового типа RealStubPath, расположенном в ветви реестра HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Active Setup\Installed Components\«подраздел» (по умолчанию параметр отсутствует). Программа, которую вы запустите после обработки содержимого параметра RealStubPath, будет запущена как процесс, то есть ей будет отказано во взаимодействии с Рабочим столом и она не сможет отобразить свое окно. Минус этого ясен, а плюс можно определить на примере. Если указать в параметре RealStubPath ветви системного реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\para следующую команду: rundll32.exe amovie.ocx, RunDll /play /close e:\music\B-2\волки.wma, , то после вызова команды rundll32.exe ADVPACK.dll, UserInstStubWrapper para будет воспроизведен данный музыкальный файл. При этом проигрывание данного файла можно будет прекратить только выгрузкой из памяти процесса rundll32.exe, который породил это воспроизведение, ведь никакого окна индикации открытого файла отображено не будет.

Для обсуждения. :)
-----------
 
EVE N
EVE N
Пользователь
Сообщений: 317
Баллов: 253
Регистрация: 16.03.2010
Размещено 05.08.2013 20:51:04
А винлок Reveton(распространяется через эксплойты) использует rundll32.exe для загрузки/автозагрузки dll. В папку автозагрузка копируется файл/ярлык ink:
C:\WINDOWS\system32\rundll32.exe C:\DOCUME~1\XPMUser\LOCALS~1\Temp\tolje2.dat,OKL00

Поэтому у меня в HIPS есть несколько правил для:
C:\Windows\System32\rundll32.exe
C:\Windows\SysWOW64\rundll32.exe
Снимок1.PNG (206.46 КБ)
Снимок2.PNG (120.04 КБ)
Снимок3.PNG (144.83 КБ)
ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 05.08.2013 20:58:08
Цитата
EVE N пишет:
А винлок Reveton(распространяется через эксплойты) использует rundll32.exe для загрузки/автозагрузки dll. В папку автозагрузка копируется файл/ярлык ink:
C:\WINDOWS\system32\rundll32.exe C:\DOCUME~1\XPMUser\LOCALS~1\Temp\tolje2.dat,OKL00
EVE N, а сделай в uVS  образ автозапуска системы с подобным винлоком  :)  по идее, должен попасть в автозапуск
Изменено: santy - 05.08.2013 20:59:09
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 05.08.2013 21:03:22
В частности:
т.е.
Применение команды для очистки системы ОТ модифицированных объектов ? ( в качестве компонента лечения )

Удаление файла/объекта - как альтернативный вариант команд/ы/удаления для применения в uVS.

Для: " Интересная возможность " - Как uVS будет обрабатывать эти данные ? ( Я не про музыку )  :oops:  :D
Изменено: RP55 RP55 - 05.08.2013 21:05:38
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 05.08.2013 21:04:44
Цитата
RP55 RP55 пишет:
Читаю тут одну книжку.
Несколько выдержек.
-------------------------------

Для обсуждения. :)
-----------
rundll32 используется для альтернативного запуска функций из dll
[ Как создать образ автозапуска? ]
 
EVE N
EVE N
Пользователь
Сообщений: 317
Баллов: 253
Регистрация: 16.03.2010
Размещено 05.08.2013 21:06:49
Я сейчас dll и инжектор dll отправлю в личку. Можешь сам посмотреть. :)
ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 05.08.2013 21:07:54
Цитата
santy пишет:
rundll32 используется для альтернативного запуска функций из dll
В общем я и говорю об альтернативных вариантах/подходах.
Может, что полезного/вредного есть ?  :(
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 05.08.2013 21:10:40
Цитата
RP55 RP55 пишет:
Цитата
santy пишет:
rundll32 используется для альтернативного запуска функций из dll
В общем я и говорю об альтернативных вариантах/подходах.
Может, что полезного/вредного есть ?  :(
и полезные и вредоносные функции запускаются через rundll32. тот же corkow
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 22.08.2013 21:37:49
интересно, tdsskiller рубанул драйвера ESET Antivirus. v. 4.2.71

Цитата
13:17:52.0031 2844 TDSS rootkit removing tool 2.8.18.0 Jun 10 2013 21:44:19
13:17:52.0406 2844 ============================================================­
13:17:52.0406 2844 Current date / time: 2013/07/15 13:17:52.0406
13:17:52.0406 2844 SystemInfo:
13:17:52.0406 2844
13:17:52.0406 2844 OS Version: 5.1.2600 ServicePack: 3.0
13:17:52.0406 2844 Product type: Workstation
13:17:52.0406 2844 ComputerName: D******
13:17:52.0406 2844 UserName: Admin
13:17:52.0406 2844 Windows directory: C:\WINDOWS
13:17:52.0406 2844 System windows directory: C:\WINDOWS
13:17:52.0406 2844 Processor architecture: Intel x86
13:17:52.0406 2844 Number of processors: 8
13:17:52.0406 2844 Page size: 0x1000
13:17:52.0406 2844 Boot type: Normal boot
13:17:52.0406 2844 ============================================================­
....
13:19:23.0390 2916 ============================================================­
13:19:23.0390 2916 Scan finished
13:19:23.0390 2916 ============================================================­
13:19:23.0406 2908 Detected object count: 3
13:19:23.0406 2908 Actual detected object count: 3
13:19:46.0906 2908 C:\WINDOWS\system32\DRIVERS\eamon.sys - copied to quarantine
13:19:46.0906 2908 HKLM\SYSTEM\ControlSet001\services\eamon - will be deleted on reboot
13:19:46.0906 2908 HKLM\SYSTEM\ControlSet002\services\eamon - will be deleted on reboot
13:19:46.0937 2908 C:\WINDOWS\system32\DRIVERS\eamon.sys - will be deleted on reboot
13:19:46.0937 2908 eamon ( LockedFile.Multi.Generic ) - User select action: Delete
13:19:47.0046 2908 C:\WINDOWS\system32\DRIVERS\ehdrv.sys - copied to quarantine
13:19:47.0046 2908 HKLM\SYSTEM\ControlSet001\services\ehdrv - will be deleted on reboot
13:19:47.0046 2908 HKLM\SYSTEM\ControlSet002\services\ehdrv - will be deleted on reboot
13:19:47.0062 2908 C:\WINDOWS\system32\DRIVERS\ehdrv.sys - will be deleted on reboot
13:19:47.0062 2908 ehdrv ( LockedFile.Multi.Generic ) - User select action: Delete
13:19:47.0187 2908 C:\WINDOWS\System32\Drivers\sptd.sys - copied to quarantine
13:19:47.0250 2908 HKLM\SYSTEM\ControlSet001\services\sptd - will be deleted on reboot
13:19:47.0250 2908 HKLM\SYSTEM\ControlSet002\services\sptd - will be deleted on reboot
13:19:47.0265 2908 C:\WINDOWS\System32\Drivers\sptd.sys - will be deleted on reboot
13:19:47.0265 2908 sptd ( LockedFile.Multi.Generic ) - User select action: Delete
13:21:26.0671 3836 Deinitialize success
Изменено: santy - 22.08.2013 21:46:13
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 22.08.2013 21:41:25
это где такое случилось?
Правильно заданный вопрос - это уже половина ответа
 
Пред. 1 ... 107 108 109 110 111 ... 167 След.
Читают тему