поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 93 94 95 96 97 ... 167 След.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 06.02.2013 23:20:07

Выловили нового Винлокер - зверя.
forum.simplix.ks.ua/viewtopic.php?pid=14903#p14903

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 07.02.2013 08:39:18

образ автозапуска системы с локером.
http://rghost.ru/43609720

win32.exe попал в подозрительные.
https://www.virustotal.com/file/3a263306f4a2faccf53370bba8418dcfad8e30d5174069351f220332f25ad2ee/analysis/1360212088/

Цитата
Полное имя C:\WINDOWS\WIN32.EXE Имя файла WIN32.EXE Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске Удовлетворяет критериям SHELL.EXPLORER (ССЫЛКА ~ \WINLOGON\SHELL)(1) AND (SHELL !~ EXPLORER.EXE)(1) Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Размер 457728 байт Создан 03.02.2013 в 01:15:30 Изменен 03.02.2013 в 01:15:30 Атрибуты СКРЫТЫЙ Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Атрибут файла "Скрытый" или "Системный" [типично для вирусов] Автозапуск Неизвестный файл использует ключ реестра часто используемый вирусами Доп. информация на момент обновления списка SHA1 80DDCEA4BE7E84AEA19E3A74D91B7E2215D760A3 MD5 044A5DECD4CEDE3EFEBDF128163DD416 Ссылки на объект Ссылка HKLM\ddqsjfscs\Software\Microsoft\Windows\CurrentVersion\Run\win32.exe win32.exe C:\Windows\win32.exe Ссылка HKLM\uvs_software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell Shell C:\Windows\win32.exe

Цитата

Полное имя C:\WINDOWS\WIN32.EXE
Имя файла WIN32.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
SHELL.EXPLORER (ССЫЛКА ~ \WINLOGON\SHELL)(1) AND (SHELL !~ EXPLORER.EXE)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 457728 байт
Создан 03.02.2013 в 01:15:30
Изменен 03.02.2013 в 01:15:30
Атрибуты СКРЫТЫЙ
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла "Скрытый" или "Системный" [типично для вирусов]
Автозапуск Неизвестный файл использует ключ реестра часто используемый вирусами

Доп. информация на момент обновления списка
SHA1 80DDCEA4BE7E84AEA19E3A74D91B7E2215D760A3
MD5 044A5DECD4CEDE3EFEBDF128163DD416

Ссылки на объект
Ссылка HKLM\ddqsjfscs\Software\Microsoft\Windows\CurrentVersion\Run\win32.exe
win32.exe C:\Windows\win32.exe

Ссылка HKLM\uvs_software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Shell C:\Windows\win32.exe

в вот второй объект надо смотреть в основном автозапуске.
https://www.virustotal.com/file/e3d378336cdbceed9ae7068cfa59e6919fd0a7c3e3af3e59726ff8f6298e32f9/analysis/1360212215/

Цитата
Полное имя C:\TEST\WLOCKOK\SKYPEE\SKYPE.EXE Имя файла SKYPE.EXE Тек. статус в автозапуске Сохраненная информация на момент создания образа Статус в автозапуске Размер 495609 байт Создан 07.02.2013 в 06:59:06 Изменен 03.02.2013 в 01:22:37 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Версия файла 6.1.67.129 Описание Skype 6.1.67.129 Installation Copyright Skype Technologies Производитель Skype Technologies Комментарий Доп. информация на момент обновления списка SHA1 26FCF53FBE693D590EF68DDA29D7655EC1368E49 MD5 417A316B8DD7723D507F0BDA00462848 Ссылки на объект Ссылка C:\DOCUMENTS AND SETTINGS\SAFETY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\SKYPE.LNK

Цитата

Полное имя C:\TEST\WLOCKOK\SKYPEE\SKYPE.EXE
Имя файла SKYPE.EXE
Тек. статус в автозапуске

Сохраненная информация на момент создания образа
Статус в автозапуске
Размер 495609 байт
Создан 07.02.2013 в 06:59:06
Изменен 03.02.2013 в 01:22:37
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Версия файла 6.1.67.129
Описание Skype 6.1.67.129 Installation
Copyright Skype Technologies
Производитель Skype Technologies
Комментарий

Доп. информация на момент обновления списка
SHA1 26FCF53FBE693D590EF68DDA29D7655EC1368E49
MD5 417A316B8DD7723D507F0BDA00462848

Ссылки на объект
Ссылка C:\DOCUMENTS AND SETTINGS\SAFETY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\SKYPE.LNK

Изменено: santy - 07.02.2013 08:44:37

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 09.02.2013 10:06:58

объект запуска страницы в браузере

Цитата
Полное имя START Имя файла START Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ Удовлетворяет критериям CMD.START ( ~ CMD.EXE /K START)(1) Сохраненная информация на момент создания образа Статус Ссылки на объект Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Flash Player SU Adobe Flash Player SU C:\Windows\System32\cmd.exe /k start http://woodportent.com/ && exit

Цитата

Полное имя START
Имя файла START
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ

Удовлетворяет критериям
CMD.START ( ~ CMD.EXE /K START)(1)

Сохраненная информация на момент создания образа
Статус

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Flash Player SU
Adobe Flash Player SU C:\Windows\System32\cmd.exe /k start http://woodportent.com/ && exit

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 15.02.2013 07:31:04

uVS v 3.776
исправлена проверка по хэшу на VT и др.

http://dsrt.dyndns.org/files/uvsz_v3776.zip

Цитата
o Обновлена функция проверки по хэшу на VT. o Исправлена функция сохранения скрипта. o Исправлена функция постобработки скрипта. o Исправлена функция создания образа диска. o Теперь считываются все 9 секторов exFAT VBR.

http://www.anti-malware.ru/forum/index.php?showtopic=19126&view=findpost&p=166921

Изменено: santy - 15.02.2013 07:31:27

[ Как создать образ автозапуска? ]

Сообщений: 188

Баллов: 150

Регистрация: 12.07.2011

Размещено 17.02.2013 23:28:20

Стесняюсь спросить, а чем открыть извлечённый из архива uvsz_v3776.zip файл uvsz?

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 17.02.2013 23:28:52

а зачем его открывать?

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 17.02.2013 23:30:25

Цитата
Yung пишет: Стесняюсь спросить, а чем открыть извлечённый из архива uvsz_v3776.zip файл uvsz?

его надо скопировать в папку с uVS чтобы обновить uVS до 3.776.

[ Как создать образ автозапуска? ]

Сообщений: 188

Баллов: 150

Регистрация: 12.07.2011

Размещено 17.02.2013 23:32:56

Благодарю.

Сообщений: 188

Баллов: 150

Регистрация: 12.07.2011

Размещено 23.02.2013 22:08:10

Небольшой минус uVS на WinPE - не видит папку Windows, если она скрытая.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 23.02.2013 22:09:43

интересно, а у скольких извращенцев эта папка скрыта?

Правильно заданный вопрос - это уже половина ответа

Пред. 1 ... 93 94 95 96 97 ... 167 След.