поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

рекомендации добавлены. (в личку).
другое дело, что в некоторых случаях мы имеем дело видимо с остатком тела, от настоящего Корка. после его очистки антивирусом. а срабатывать стала эвристика на факт того, что вместо системного модуля прописан левый в службах или в CLSID, или запуск с  rundll32 через известный ключ NvCplWow64
Цитата
Полное имя HTTP://ADVERTTRAFF.ORG
Имя файла HTTP://ADVERTTRAFF.ORG
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)
RUN.CMD.HTTP (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND ( ~ CMD.EXE)(1)

Сохраненная информация на момент создания образа
Статус в автозапуске

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-3070656606-3463346820-2616747403-500\Software\Microsoft\Windows\CurrentVersion\Run\CMD
CMD cmd.exe /c start http://adverttraff.org && exit
http://forum.esetnod32.ru/forum6/topic11249/
Изменено: santy - 03.10.2014 07:30:39
santy
В этом образе этого нет.
Через HiJackThis быстрее можно было решить проблему.  :)
Михаил
mike 1, hj нам нет смысла использовать, да еще и напрягать пользователя сбором тучи логов.
Изменено: santy - 03.10.2014 14:58:49
Здесь упал uVS http://forum.esetnod32.ru/forum3/topic11258/
Пусть человек сделает дамп
http://www.anti-malware.ru/forum/index.php?showtopic=19126&view=findpost&p=180494

И здесь: http://pchelpforum.ru/f26/t141464/
----------
сейчас мне некогда.
Изменено: RP55 RP55 - 04.10.2014 12:48:27
Цитата
RP55 RP55 пишет:

Здесь упал uVS http://forum.esetnod32.ru/forum3/topic11258/
ответ был: "Всё ровно не помогло".
а это можно трактовать по разному. например, что проблема не была решена выполнением скрипта. надо уточнять все, прежде чем сигналить разработчику от ошибке. (первый вылет был на версии 3.83)
Изменено: santy - 04.10.2014 12:54:30
Гхм...

http://forum.esetnod32.ru/forum6/topic11344/
Как бы...
HTT*://ADVERTTRAFF.ORG
HTT*://ADVERTTRAFF.ORG/
Изменено: RP55 RP55 - 10.11.2014 16:21:52
Ещё бы кто поддержал: http://www.anti-malware.ru/forum/index.php?showtopic=18985&view=findpost&p=180800

:(
Цитата
RP55 RP55 пишет:

Гхм...

http://forum.esetnod32.ru/forum6/topic11344/
Как бы...
HTT*://ADVERTTRAFF.ORG
HTT*://ADVERTTRAFF.ORG/

второе здесь, скорее всего результат первого.

Цитата
Полное имя                  HTTP://ADVERTTRAFF.ORG/
Имя файла                   HTTP://ADVERTTRAFF.ORG/
Тек. статус                 [Запускался неявно или вручную]
                           
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
                           
Доп. информация             на момент обновления списка
CmdLine                     "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" -- "http://adverttraff.org/"
                           

т.е. Хром автоматически запустился с этой стартовой страницей, а вот почему он запустился, это результат записи из автозапуска Run

Цитата
Полное имя                  HTTP://ADVERTTRAFF.ORG
Имя файла                   HTTP://ADVERTTRAFF.ORG
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
                         
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-2412546897-1970889030-2826451629-1000\Software\Microsoft\Windows\CurrentVersion\Run\CMD
CMD                         cmd.exe /c start http://adverttraff.org && exit
------------
возможно, стоит попробовать выгрузить браузеры с подобным cmdline из памяти, прежде чем очищать данный ключ.
Читают тему (гостей: 6)