поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 84 85 86 87 88 ... 167 След.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 14.11.2012 15:59:19

Сегодня бац...
Mozilla в полудохлом состоянии.
Запускается с задержкой секунд в 30.
В Sandboxie - вообще не работает - всё виснет.

И что оказалось ?
Установилось дополнение: "Визуальные закладки"
Вполне легитимное\официальное.
Удалил... и

Ужас

Сообщений: 197

Баллов: 157

Регистрация: 25.10.2012

Размещено 14.11.2012 16:01:49

Прошу прощения -визуальные закладки от яндекса?

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 14.11.2012 16:20:59

Цитата
TAVI пишет: Прошу прощения -визуальные закладки от яндекса?

От них.

Сообщений: 197

Баллов: 157

Регистрация: 25.10.2012

Размещено 14.11.2012 16:25:18

Вовремя от них отказался:D

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 15.11.2012 12:26:05

что-то новое в корпорации Carberp придумали:
вместе с файликом в автозапуске еще и служба появилась:
(оба файла попали под одну сигнатуру да и SHA1 у них одинаковые.)

Цитата
олное имя C:\USERS\ЛЮДМИЛА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ASXVZDIRFGK.EXE Имя файла ASXVZDIRFGK.EXE Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Размер 191488 байт Создан 14.07.2009 в 06:11:12 Изменен 14.07.2009 в 08:14:39 Атрибуты СИСТЕМНЫЙ R/O Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись проверка не производилась Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Атрибут файла "Скрытый" или "Системный" [типично для вирусов] Путь до файла Типичен для вирусов и троянов Доп. информация на момент обновления списка SHA1 3A972F93F18B4448C56E3DF81768BEBEB3474572 Ссылки на объект Ссылка C:\USERS\ЛЮДМИЛА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP

Цитата

олное имя C:\USERS\ЛЮДМИЛА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ASXVZDIRFGK.EXE
Имя файла ASXVZDIRFGK.EXE
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 191488 байт
Создан 14.07.2009 в 06:11:12
Изменен 14.07.2009 в 08:14:39
Атрибуты СИСТЕМНЫЙ R/O
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла "Скрытый" или "Системный" [типично для вирусов]
Путь до файла Типичен для вирусов и троянов

Доп. информация на момент обновления списка
SHA1 3A972F93F18B4448C56E3DF81768BEBEB3474572

Ссылки на объект
Ссылка C:\USERS\ЛЮДМИЛА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP

Цитата
Полное имя C:\WINDOWS\SYSTEM32\COM\SVCHOST.EXE Имя файла SVCHOST.EXE Статус ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске Размер 191488 байт Создан 09.11.2012 в 20:02:15 Изменен 09.11.2012 в 20:02:00 Атрибуты СИСТЕМНЫЙ R/O Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись проверка не производилась Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Атрибут файла "Скрытый" или "Системный" [типично для вирусов] Путь до файла Не_типичен для этого файла [имя этого файла есть в известных] Доп. информация на момент обновления списка SHA1 3A972F93F18B4448C56E3DF81768BEBEB3474572 Ссылки на объект Ссылка HKLM\System\CurrentControlSet\Services\Windows \ImagePath ImagePath C:\windows\system32\com\svchost.exe Windows тип запуска: Авто (2)

Цитата

Полное имя C:\WINDOWS\SYSTEM32\COM\SVCHOST.EXE
Имя файла SVCHOST.EXE
Статус ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске
Размер 191488 байт
Создан 09.11.2012 в 20:02:15
Изменен 09.11.2012 в 20:02:00
Атрибуты СИСТЕМНЫЙ R/O
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла "Скрытый" или "Системный" [типично для вирусов]
Путь до файла Не_типичен для этого файла [имя этого файла есть в известных]

Доп. информация на момент обновления списка
SHA1 3A972F93F18B4448C56E3DF81768BEBEB3474572

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\Windows \ImagePath
ImagePath C:\windows\system32\com\svchost.exe
Windows тип запуска: Авто (2)

https://www.virustotal.com/file/f2bf367f264a7288ad2f4b920a038eceb235fab19ede9fe440936f76a73ab283/analysis/1352967295/

в нормальном режиме вылетают AVZ и uVS. startf завис при выполнении анализа.

Изменено: santy - 15.11.2012 12:26:53

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 15.11.2012 12:49:28

Было уже такое:
http://forum.esetnod32.ru/messages/forum6/topic7566/message56155/#message56155
Но второго файла нет.

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 15.11.2012 12:59:18

угу, свежий пример.
странно, что в увс он "был не найден", а малваребайт его закарантинил.

Цитата
C:\Windows\System32\com\svchost.exe (Trojan.Agent) -> Помещено в карантин и успешно удалено. C:\Windows\SysWOW64\com\svchost.exe (Trojan.Agent) -> Помещено в карантин и успешно удалено.

в моем первом примере, пришлось прибивать в безопасном режиме,
ESET sysinspector в нормальном режиме создал лог, собственно из него я и увидел левый svchost.exe

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 15.11.2012 13:34:49

Может для пробы скорректировать инструкцию.( Для таких случаев )
"Откройте меню: Дополнительно и выполните команду: Выгрузить всё неизвестные/непроверенные процессы..."
После чего откройте меню Файл: Сохранить полный образ автозапуска...

Проверить
Найдёт или нет.
Как это повлияет на эффективность ?

Изменено: RP55 RP55 - 15.11.2012 13:35:39

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 15.11.2012 13:41:36

Будем ждать человека который напишет что не может создать образ.

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 15.11.2012 13:45:39

Цитата
RP55 RP55 пишет: Может для пробы скорректировать инструкцию.( Для таких случаев ) "Откройте меню: Дополнительно и выполните команду: Выгрузить всё неизвестные/непроверенные процессы..." После чего откройте меню Файл: Сохранить полный образ автозапуска... Проверить Найдёт или нет. Как это повлияет на эффективность ?

Цитата

RP55 RP55 пишет:
Может для пробы скорректировать инструкцию.( Для таких случаев )
"Откройте меню: Дополнительно и выполните команду: Выгрузить всё неизвестные/непроверенные процессы..."
После чего откройте меню Файл: Сохранить полный образ автозапуска...

Проверить
Найдёт или нет.
Как это повлияет на эффективность ?

не так то просто выгрузить службу, усиленный режим запуска не помог. вариант есть железобетонный... не создается образ в нормальном режиме, пробуем создать в безопасном.

Изменено: santy - 15.11.2012 13:47:17

[ Как создать образ автозапуска? ]

Пред. 1 ... 84 85 86 87 88 ... 167 След.