поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

пишите в этой теме если есть вопросы
Цитата
I-et@ovi пишет:
Можете мне дать ссылку на мануалы по uVS?
в папке Doc
Цитата
I-et@ovi пишет:
если в соцсети не выходит при чистом host файле, что это за вирус?
тысяча причин может быть. надо с каждым случаем разбираться
Правильно заданный вопрос - это уже половина ответа
1) Папка Doc в каталоге с uVS
2) http://forum.esetnod32.ru/forum17/topic5160/
3) http://pchelpforum.ru/f26/t94635/
4) http://www.anti-malware.ru/forum/index.php?showforum=63
I-et@ovi
Здесь на форуме принято вначале решать проблему и только после отвечать на вопросы.
он вообще не в свою тему залез :)
Правильно заданный вопрос - это уже половина ответа
Цитата
I-et@ovi пишет:
Не выходит при чистом host файле, что это за вирус?

1) Файл hosts - может иметь статус: "скрытый"
2) Путь по файла может быть изменён и Реально открываться/обрабатываться будет файл не из каталога: C:\WINDOWS\system32\drivers\etc, а совсем
даже другой.
3) Может быть работа через : HKLM\--------\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
4) Просто разные вирусы/файлы перехватчики - где каждый под себя ходит.  :(
Изменено: RP55 RP55 - 06.06.2013 17:51:59
Всем привет, немного не по теме Выше но все же. Все, я думаю, помнят вирус Win32/TrojanDownloader.Carberp только не обычный, а именно бутовый.
Яркий пример
http://forum.esetnod32.ru/forum6/topic9508/

Прошу, если где нить появится новая тема с такой лажей пригнать меня туда, я все таки достал вирлаб и они просят выполнить пару логов для анализа вируса.

Всем спасибо.

sendvirus2019@gmail.com
zloyDi, в последнее время гораздо реже встречается на форумах... раньше чаще был. имхо, в этом нет чего то особенного, кроме того, что и tdsskiller его не обнаружил... такое было уже раньше.

может старые темы поднять? (там должен быть подобный загрузчик )
Цитата
Rootkit.MBR.Mayachok.B
хотя нужен именно из под Live.CD.
Да они логи запросили странные, которые я уже делал или не смог сделать по причине вируса, накатал гневный ответ, почему год тема тянется. В общем, будет товарищ с вирусом, свистите, специально удаленку дам ударовцам с вирлаба, пускай тестят как хотят

sendvirus2019@gmail.com
Сижу сейчас пересматриваю свои критерии поиска в uVS. Начал переделывать из кучи мелких сложные критерии и пришел в тупик.
У меня есть 4 критерия поиска для Corkow:
1 и 2 - ссылка которая содержит "SHELLSERVICEOBJECTDELAYLOAD" или "SERVICES\LANMANSERVER"
3 и 4 - цифровая подпись содержит "проверка не производилась" или "Отсутствует либо ее не удалось проверить"
не могу выставить OR и AND так чтобы срабатывание происходило только для Corkow - оно у меня или вообще не работает или под эти критерии подходят все файлы в образе.
Одним критерием это вообще получится сделать?
Правильно заданный вопрос - это уже половина ответа
вначале 2 OR, а потом 2 AND. сработало вроде.
Правильно заданный вопрос - это уже половина ответа
Арвид, имей ввиду, что в цепочке логических операций, вначале выполняются AND, затем OR, если нет скобок.
Читают тему (гостей: 12)