поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 122 123 124 125 126 ... 167 След.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.09.2014 18:25:29

рекомендации добавлены. (в личку).
другое дело, что в некоторых случаях мы имеем дело видимо с остатком тела, от настоящего Корка. после его очистки антивирусом. а срабатывать стала эвристика на факт того, что вместо системного модуля прописан левый в службах или в CLSID, или запуск с rundll32 через известный ключ NvCplWow64

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.10.2014 09:56:49

Цитата
Полное имя HTTP://ADVERTTRAFF.ORG Имя файла HTTP://ADVERTTRAFF.ORG Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске Удовлетворяет критериям CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) RUN.CMD.HTTP (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND ( ~ CMD.EXE)(1) Сохраненная информация на момент создания образа Статус в автозапуске Ссылки на объект Ссылка HKEY_USERS\S-1-5-21-3070656606-3463346820-2616747403-500\Software\Microsoft\Windows\CurrentVersion\Run\CMD CMD cmd.exe /c start http://adverttraff.org && exit

Цитата

Полное имя HTTP://ADVERTTRAFF.ORG
Имя файла HTTP://ADVERTTRAFF.ORG
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)
RUN.CMD.HTTP (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND ( ~ CMD.EXE)(1)

Сохраненная информация на момент создания образа
Статус в автозапуске

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-3070656606-3463346820-2616747403-500\Software\Microsoft\Windows\CurrentVersion\Run\CMD
CMD cmd.exe /c start http://adverttraff.org && exit

http://forum.esetnod32.ru/forum6/topic11249/

Изменено: santy - 03.10.2014 07:30:39

[ Как создать образ автозапуска? ]

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 02.10.2014 22:01:32

santy
В этом образе этого нет.

Сообщений: 142

Баллов: 113

Регистрация: 10.06.2011

Размещено 03.10.2014 12:43:35

Через HiJackThis быстрее можно было решить проблему.

Михаил

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.10.2014 14:58:13

mike 1, hj нам нет смысла использовать, да еще и напрягать пользователя сбором тучи логов.

Изменено: santy - 03.10.2014 14:58:49

[ Как создать образ автозапуска? ]

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 04.10.2014 12:48:07

Здесь упал uVS http://forum.esetnod32.ru/forum3/topic11258/
Пусть человек сделает дамп
http://www.anti-malware.ru/forum/index.php?showtopic=19126&view=findpost&p=180494

И здесь: http://pchelpforum.ru/f26/t141464/
----------
сейчас мне некогда.

Изменено: RP55 RP55 - 04.10.2014 12:48:27

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.10.2014 12:53:14

Цитата
RP55 RP55 пишет: Здесь упал uVS http://forum.esetnod32.ru/forum3/topic11258/

ответ был: "Всё ровно не помогло".
а это можно трактовать по разному. например, что проблема не была решена выполнением скрипта. надо уточнять все, прежде чем сигналить разработчику от ошибке. (первый вылет был на версии 3.83)

Изменено: santy - 04.10.2014 12:54:30

[ Как создать образ автозапуска? ]

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 10.11.2014 16:21:29

Гхм...

http://forum.esetnod32.ru/forum6/topic11344/
Как бы...
HTT*://ADVERTTRAFF.ORG
HTT*://ADVERTTRAFF.ORG/

Изменено: RP55 RP55 - 10.11.2014 16:21:52

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 10.11.2014 16:23:29

Ещё бы кто поддержал: http://www.anti-malware.ru/forum/index.php?showtopic=18985&view=findpost&p=180800

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.11.2014 18:16:15

Цитата
RP55 RP55 пишет: Гхм... http://forum.esetnod32.ru/forum6/topic11344/ Как бы... HTT://ADVERTTRAFF.ORG HTT://ADVERTTRAFF.ORG/

второе здесь, скорее всего результат первого.

Цитата
Полное имя HTTP://ADVERTTRAFF.ORG/ Имя файла HTTP://ADVERTTRAFF.ORG/ Тек. статус [Запускался неявно или вручную] Сохраненная информация на момент создания образа Статус [Запускался неявно или вручную] Доп. информация на момент обновления списка CmdLine "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" -- "http://adverttraff.org/"

Цитата

Полное имя HTTP://ADVERTTRAFF.ORG/
Имя файла HTTP://ADVERTTRAFF.ORG/
Тек. статус [Запускался неявно или вручную]

Сохраненная информация на момент создания образа
Статус [Запускался неявно или вручную]

Доп. информация на момент обновления списка
CmdLine "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" -- "http://adverttraff.org/"

т.е. Хром автоматически запустился с этой стартовой страницей, а вот почему он запустился, это результат записи из автозапуска Run

Цитата
Полное имя HTTP://ADVERTTRAFF.ORG Имя файла HTTP://ADVERTTRAFF.ORG Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске Сохраненная информация на момент создания образа Статус в автозапуске Ссылки на объект Ссылка HKEY_USERS\S-1-5-21-2412546897-1970889030-2826451629-1000\Software\Microsoft\Windows\CurrentVersion\Run\CMD CMD cmd.exe /c start http://adverttraff.org && exit

Цитата

Полное имя HTTP://ADVERTTRAFF.ORG
Имя файла HTTP://ADVERTTRAFF.ORG
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Сохраненная информация на момент создания образа
Статус в автозапуске

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-2412546897-1970889030-2826451629-1000\Software\Microsoft\Windows\CurrentVersion\Run\CMD
CMD cmd.exe /c start http://adverttraff.org && exit

------------
возможно, стоит попробовать выгрузить браузеры с подобным cmdline из памяти, прежде чем очищать данный ключ.

[ Как создать образ автозапуска? ]

Пред. 1 ... 122 123 124 125 126 ... 167 След.