g0dl1ke (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

поговорить о uVS, Carberp, планете Земля

Сообщений: 19

Баллов: 9

Регистрация: 09.04.2013

Размещено 25.02.2015 14:58:39

лучше бы я это не смотрел, все стало ясно с первых секунд, когда аффтор рассказал о преимуществах аваста

Перейти

ShadowExplorer

Сообщений: 19

Баллов: 9

Регистрация: 09.04.2013

Размещено 05.02.2015 07:57:53

ShadowExplorer позволяет просматривать теневые копий, созданных Windows Vista / 7/8 через Volume Shadow Copy Service.
Это особенно удобно для пользователей домашних изданий, которые не имеют доступа к теневым копиям по умолчанию, но и не менее полезно для пользователей других изданий.
[IMG WIDTH=480 HEIGHT=362]http://i.imgur.com/bpRfpsG.png[/IMG]
Размер: ~134Кб
Скачать:[URL=http://www.shadowexplorer.com/downloads.html]страница загрузки[/URL]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 19

Баллов: 9

Регистрация: 09.04.2013

Размещено 05.02.2015 07:55:46

[B][URL=http://forum.esetnod32.ru/user/22/]santy[/URL], [/B]хорошо

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 19

Баллов: 9

Регистрация: 09.04.2013

Размещено 04.02.2015 08:09:39

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 19

Баллов: 9

Регистрация: 09.04.2013

Размещено 05.06.2014 10:07:09

[QUOTE]santy пишет:
Sirefef [/QUOTE]
на счет не удаляемой (поначалу) папки \??\C:\Windows\$NtUninstallKB3296$ - из под лайва без проблем должно удалиться либо через виртуализацию uvs?

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 19

Баллов: 9

Регистрация: 09.04.2013

Размещено 07.02.2014 13:12:31

интересная штука, пока не лечит, только сканирует, но в будущем обещают и лечение (удаление)
есть портабле версия, место на моих рабочих флешках уже нашла, благо весит 4 метра и есть модули 32/64

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 19

Баллов: 9

Регистрация: 09.04.2013

Размещено 26.01.2014 21:07:41

сейчас доступа к той машине нет (где выцепил майнер)

дело было так: я добавил сигнатуры с именем файла (CHROME.EXE) и обновил список - появились "лишние" файлы, якобы совпадающие по сигнатуре (с CHROME.EXE)

попытка увеличить лишь сбросила отметку о совпадении со всех файлов - в ручную удалил файл и все ссылки (через uvs)

проблема решена, только в процессе удаления выскочило окно, что драйвер восстановлен (nvidia)

как я понял, майнер работает через opencl, с любой картой (а не только amd)

а симптомы и собственно причина, по которой я полез по удаленке на этот комп "включаю интернет и через 10 минут все тупит, окна еле ворочаются" (видимо майнер не хило грузит карту)

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 19

Баллов: 9

Регистрация: 09.04.2013

Размещено 26.01.2014 19:35:32

вроде с него
[B]C:\USERS\ALEX\APPDATA\ROAMING\MALWAREBYTES\CHROME.EXE[/B]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 19

Баллов: 9

Регистрация: 09.04.2013

Размещено 26.01.2014 19:26:28

это при работе с образом - в работе с реальной машиной, почему та зацепило файлы intel (драйвер сата и панель управления)

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 19

Баллов: 9

Регистрация: 09.04.2013

Размещено 26.01.2014 14:50:29

всем привет, не знаю "боян" ли, но вот что я только что задетектил у юзера:

https://www.virustotal.com/ru/file/903f8e191b638ba608e4286f6a6905daba9a403b2e127b37efa1e2eb788aa41c/analysis/1390733179/
https://www.virustotal.com/ru/file/4ffdc458321d9374bd46b659ba0fb3de6e2f1eafb00a4a5a728996aa4e37ffe7/analysis/1390733181/

собственно опять авторан через шедулер (видимо сейчас это модно)

[B]C:\Users\Alex\AppData\Roaming\Malwarebytes\chrome.exe" --scrypt -o stratum+tcp://37.1.219.68:9007 -u strizon.2 -p x -w 256 -I 11[/B]

образ машины
http://rghost.ru/private/51935781/36444fc97b5ea891a32d522f54a39650

конфиг майнера, если кому интересно
http://rghost.ru/private/51935937/78272e539a870391beaaf5d0e3df97a1

Изменено: g0dl1ke - 26.01.2014 14:54:32

Перейти