Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

поговорить о uVS, Carberp, планете Земля

RSS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.11.2011 19:06:42
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 114 115 116 117 118 ... 167 След.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 16.12.2013 14:00:48
видимо кэш браузера надо чистить
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 18.12.2013 18:56:39
http://forum.esetnod32.ru/forum6/topic10400/
MICROTORRENT.EXE
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 18.12.2013 21:48:12
http://vms.drweb.com/virus/?i=1785305
Допустим, что это один файл.
Тогда где:
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'MicroTorrent' = '%APPDATA%\MicroTorrent\MicroTorrent.exe /m'
Может такое быть, что uVS данный параметр не видит ?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 20.12.2013 10:42:07
новый способ автоподмены DNS. в последнее время в массовом количестве присутствует на ВирусИнфо.

Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\WBEM\WMIC.EXE
Имя файла                   WMIC.EXE
Тек. статус                 ?ВИРУС? ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
АВТО ПОДМЕНА DNS            (ЗНАЧЕНИЕ ~ "WMIC.EXE" NICCONFIG WHERE IPENABLED=TRUE CALL SETDNSSERVERSEARCHORDER (37.10.116.201, 8.8.8.8))(1)
                           
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
File_Id                     4A5BC7A78D000
Linker                      9.0
Размер                      566272 байт
Создан                      14.07.2009 в 03:47:53
Изменен                     14.07.2009 в 05:39:55
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                           
Оригинальное имя            wmic.exe.mui
Версия файла                6.1.7600.16385 (win7_rtm.090713-1255)
Описание                    WMI Commandline Utility
Производитель               Microsoft Corporation
                           
Доп. информация             на момент обновления списка
SHA1                        071A645A88E4236281E58B90A5D50A2AC80E26E5
MD5                         FD902835DEAEF4091799287736F3A028
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\TASKS\AT2.JOB
Значение                    "wmic.exe" nicconfig where IPEnabled=true call SetDNSServerSearchOrder (37.10.116.201, 8.8.8.8)
                           
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\AT2
                           
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 20.12.2013 20:17:18
Цитата
santy пишет:
новый способ автоподмены DNS.
Хитрый зверь !  :)

Небольшое дополнение по MICROTORRENT.EXE
Почему обратил на него внимание.
1) наименование самого файла - бывают псевдо.торренты.
2) Директория  \USERS\МАКСИК\APPDATA\ROAMING\MICROTORRENT\
3) Производитель: Microsoft
С чего бы Microsoft заниматься TORRENT ?
4) Нет Ц.Подписи.
5) Вес: 120 kb
Но это НЕ говорит о том, что это вирус.  :cry: ;)
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 20.12.2013 20:58:01
Цитата
RP55 RP55 пишет:
Но это НЕ говорит о том, что это вирус.    

1. файл не был в автозапуске.

2. проще все таки отправить в вирлаб для анализа
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 24.12.2013 08:02:54
Zloydi, здесь задачи запускаются по замене DNS
http://www.adminplanet.ru/t9573.html

Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\WBEM\WMIC.EXE
Имя файла                   WMIC.EXE
Тек. статус                 ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
                           
Удовлетворяет критериям    
SETDNSSERVER                (ЗНАЧЕНИЕ ~ SETDNSSERVER)(1)
                           
Цифр. подпись               Действительна, подписано Microsoft Windows
                           
                       
Ссылки на объект            
Ссылка                      C:\WINDOWS\TASKS\AT1.JOB
Значение                    "wmic.exe" nicconfig where IPEnabled=true call SetDNSServerSearchOrder (37.10.116.201, 8.8.8.8)
                           
Ссылка                      C:\WINDOWS\TASKS\AT2.JOB
Значение                    "wmic.exe" nicconfig where IPEnabled=true call SetDNSServerSearchOrder (37.10.116.201, 8.8.8.8)
                           
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\AT1
                           
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\AT2
[ Как создать образ автозапуска? ]
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 24.12.2013 11:35:53
хм. буду иметь ввиду.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 24.12.2013 12:33:08
сейчас это идет в массовом порядке

http://virusinfo.info/showthread.php?t=151770
http://virusinfo.info/showthread.php?t=150577
http://virusinfo.info/showthread.php?t=151837
http://virusinfo.info/showthread.php?t=151824
http://virusinfo.info/showthread.php?t=151766
http://virusinfo.info/showthread.php?t=151751
и здесь
http://virusinfo.info/showthread.php?t=151521

http://virusinfo.info/showthread.php?t=151968

http://virusinfo.info/showthread.php?t=151952
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 27.12.2013 12:46:56
" Вирусов уйма. "

C:\WINDOWS\ISSERVICE.EXE
D:\WINDOWS\SYSTEM32\ISSERVICE.EXE
https://www.virustotal.com/ru/file/288eb0bae83e807603a0e43f94f436b3666ebcaa5f1c868d­dae053a89554bffb/analysis/

First submission 2013-12-18 05:34:41 UTC (1 неделя, 2 дней назад)
Last submission 2013-12-26 18:23:38 UTC (14 часов, 20 минут назад)
Изменено: RP55 RP55 - 27.12.2013 12:47:33
 
Пред. 1 ... 114 115 116 117 118 ... 167 След.
Читают тему