поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Цитата
RP55 RP55 пишет:

10.100.0.89:3128
это локальный адрес, возможно прокси есть в локальной сети, хотя может и ошибка какая то вкралась в разбор при формировании образа, очень уж близки айпишники.
Изменено: santy - 20.08.2014 16:50:32
Мы уже видели, что локальный адрес может быть ммм.... не совсем локальным.
Да и похожи они подозрительно.
Может злодеи ещё чего придумали нового.
удалить - посмотреть результат.
Так...
Надо спросить у...
спроси у whois
https://www.nic.ru/whois/?query=10.100.0.89
Не в том дело.
Может мы чего не видим.
может и не в том, но человек еще не выполнил очистку в малваребайт, в адвклинере, и не показал список расширений. вот после этих очисток и проверок будет виден результат
Изменено: santy - 21.08.2014 06:13:43
Corcow.AE
http://forum.esetnod32.ru/forum6/topic11193/
----------

Полное имя FTP=PROXY.BANKSOYUZ.RU:3128;HTTP=PROXY.BANKSOYUZ.RU:3128;HTTPS=PROXY.BANKSOYUZ.RU:3128;SOCKS=PROXY.BANKSOYUZ.RU:3128
Имя файла FTP=PROXY.BANKSOYUZ.RU:3128;HTTP=PROXY.BANKSOYUZ.RU:3128;HTTPS=PROXY.BANKSOYUZ.RU:3128;SOCKS=PROXY.BANKSOYUZ.RU:3128
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
***

Сохраненная информация на момент создания образа
Статус в автозапуске

Ссылки на объект
Ссылка HKLM\dhkwvpqyg\Software\Microsoft\Windows\CurrentVersion\Int­ernet Settings\ProxyServer
ProxyServer ftp=proxy.banksoyuz.ru:3128;http=proxy.banksoyuz.ru:3128;https=proxy.banksoyuz.ru:3128;socks=proxy.banksoyuz.ru:3128

Ссылка HKEY_USERS\S-1-5-21-4074028537-1016672602-1696725406-20086\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
ProxyServer ftp=proxy.banksoyuz.ru:3128;http=proxy.banksoyuz.ru:3128;https=proxy.banksoyuz.ru:3128;socks=proxy.banksoyuz.ru:3128

+
HT*P://PORTAL.BANKSOYUZ.RU/INTER/PORTAL/PERS.NSF/69AAB72FF7C7201BC3256DE9004D3719/CE8B2F77590B7819C325767­F00480108?OPENDOCUMENT

+

PROXY.BANKSOYUZ.RU:3128
Изменено: RP55 RP55 - 01.09.2014 14:38:25
Цитата
RP55 RP55 пишет:

Полное имя FTP=PROXY.BANKSOYUZ.RU:3128;HTTP=PROXY.BANKSOYUZ.RU:3128
RP55, к чему это? есть подозрение, что это троянский прокси?
Думать должен тот, кто обратился за помощью.
Можно спросить - что и как.
а зачем спрашивать? возьми и проверь
banksoyuz.ru
https://www.nic.ru/whois/?query=BANKSOYUZ.RU
А рекомендации по смене паролей нет, а Corkow их ворует.
Михаил
Читают тему (гостей: 5)