Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

поговорить о uVS, Carberp, планете Земля

RSS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.11.2011 19:06:42
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 121 122 123 124 125 ... 167 След.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 20.08.2014 16:48:37
Цитата
RP55 RP55 пишет:

10.100.0.89:3128
это локальный адрес, возможно прокси есть в локальной сети, хотя может и ошибка какая то вкралась в разбор при формировании образа, очень уж близки айпишники.
Изменено: santy - 20.08.2014 16:50:32
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 20.08.2014 17:00:37
Мы уже видели, что локальный адрес может быть ммм.... не совсем локальным.
Да и похожи они подозрительно.
Может злодеи ещё чего придумали нового.
удалить - посмотреть результат.
Так...
Надо спросить у...
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 20.08.2014 17:06:20
спроси у whois
https://www.nic.ru/whois/?query=10.100.0.89
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 20.08.2014 17:08:09
Не в том дело.
Может мы чего не видим.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 20.08.2014 17:09:45
может и не в том, но человек еще не выполнил очистку в малваребайт, в адвклинере, и не показал список расширений. вот после этих очисток и проверок будет виден результат
Изменено: santy - 21.08.2014 06:13:43
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 01.09.2014 14:35:53
Corcow.AE
http://forum.esetnod32.ru/forum6/topic11193/
----------

Полное имя FTP=PROXY.BANKSOYUZ.RU:3128;HTTP=PROXY.BANKSOYUZ.RU:3128;HTTPS=PROXY.BANKSOYUZ.RU:3128;SOCKS=PROXY.BANKSOYUZ.RU:3128
Имя файла FTP=PROXY.BANKSOYUZ.RU:3128;HTTP=PROXY.BANKSOYUZ.RU:3128;HTTPS=PROXY.BANKSOYUZ.RU:3128;SOCKS=PROXY.BANKSOYUZ.RU:3128
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
***

Сохраненная информация на момент создания образа
Статус в автозапуске

Ссылки на объект
Ссылка HKLM\dhkwvpqyg\Software\Microsoft\Windows\CurrentVersion\Int­ernet Settings\ProxyServer
ProxyServer ftp=proxy.banksoyuz.ru:3128;http=proxy.banksoyuz.ru:3128;https=proxy.banksoyuz.ru:3128;socks=proxy.banksoyuz.ru:3128

Ссылка HKEY_USERS\S-1-5-21-4074028537-1016672602-1696725406-20086\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
ProxyServer ftp=proxy.banksoyuz.ru:3128;http=proxy.banksoyuz.ru:3128;https=proxy.banksoyuz.ru:3128;socks=proxy.banksoyuz.ru:3128

+
HT*P://PORTAL.BANKSOYUZ.RU/INTER/PORTAL/PERS.NSF/69AAB72FF7C7201BC3256DE9004D3719/CE8B2F77590B7819C325767­F00480108?OPENDOCUMENT

+

PROXY.BANKSOYUZ.RU:3128
Изменено: RP55 RP55 - 01.09.2014 14:38:25
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 01.09.2014 15:56:24
Цитата
RP55 RP55 пишет:

Полное имя FTP=PROXY.BANKSOYUZ.RU:3128;HTTP=PROXY.BANKSOYUZ.RU:3128
RP55, к чему это? есть подозрение, что это троянский прокси?
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 01.09.2014 15:58:49
Думать должен тот, кто обратился за помощью.
Можно спросить - что и как.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 01.09.2014 16:30:03
а зачем спрашивать? возьми и проверь
banksoyuz.ru
https://www.nic.ru/whois/?query=BANKSOYUZ.RU
[ Как создать образ автозапуска? ]
 
mike 1
mike 1
Пользователь
Сообщений: 142
Баллов: 113
Регистрация: 10.06.2011
Размещено 02.09.2014 17:16:15
А рекомендации по смене паролей нет, а Corkow их ворует.
Михаил
 
Пред. 1 ... 121 122 123 124 125 ... 167 След.
Читают тему