Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

поговорить о uVS, Carberp, планете Земля

RSS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.11.2011 19:06:42
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 123 124 125 126 127 ... 167 След.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 29.11.2014 16:18:12
ZloyDi, что Eset ответил? ложное?
Цитата
C:\WINDOWS\SYSTEM32\USERINIT.EXE
Win32/Patched.IG
видимо файлик был без цифровой
[ Как создать образ автозапуска? ]
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 29.11.2014 16:51:24
Ложное на половину, поскольку в основном проблема на крякнутых или измененных системах. На лицензии я проблемы не увидел.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 02.12.2014 14:00:27
В общем, вирлаб хочет вернуть детект, только как потенциально опасная программа.

Ждем очередных веселых деньков!
Изменено: zloyDi - 02.12.2014 14:00:46

 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 02.12.2014 14:17:59
ну, мы всегда готовы :)
[ Как создать образ автозапуска? ]
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 02.12.2014 14:45:44
Кстати, попутно вопрос

Код
EXEC cmd /c "rename %sys32%\userinit.exe userinit.exe.old"
EXEC cmd /c "rename %sys32%\dllcache\userinit.exe userinit.exe.old"
EXEC cmd /c "copy userinit.exe %sys32%\userinit.exe"
EXEC cmd /c "copy userinit.exe %sys32%\dllcache\userinit.exe"


А как сделать замену, если файл ловится по следующему пути
C:\Windows\SysWOW64\userinit.exe
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 02.12.2014 16:15:30
тут надо смотреть в 64битной системе - различаются эти модули в system32 и syswow64
или нет
(мне тоже уже этот вопрос приходил в голову :))
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 05.01.2015 13:58:56
сервис поиска файлов по хэшу
http://totalhash.com/analysis/858d094a5fd48356b90203b036f07540013bb4c5
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 05.01.2015 18:39:08
Цитата
santy написал:
сервис поиска файлов по хэшу
Бесполезная вещь.
Он даже системные файлы от XP не находит - что уж про вирусы говорить.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 05.01.2015 18:59:17
идея здесь в другом.
в создании в uVS своей строки поискового запроса по образу автозапуска.
здесь приведены примеры поиска.
Example: filename:*sdra64.exe
Example: hash:a39a3ee5e6b4b0d3255bfef95601890afd80709
ip:8.8.8.8
registry:*rundll32.exe*
url:*/gate.php
и другие.

Цитата
Search
terms can be combined using the logical operators AND, OR, NOT. For
example the following term could be used to find poison ivy samples that
do not use the default mutex;

av:*poison* NOT mutex:)!VoqA.I4
-----------
в uVS это могло бы быть примерно так.
имя файла:*.MSR (И) цифр.подпись:* (И) ссылка:*LanmanServer
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 21.01.2015 19:22:02
По шифраторам.
Нужно создать отдельную тему где дать информацию о способах восстановления данных.
программы восстановления; теневые копии и т.д.
И в случае обращения с такой проблемой давать ссылку на тему.

http://pchelpforum.ru/f26/t141222/2/#post1239669

http://forum.esetnod32.ru/messages/forum35/topic11386/message81910/#message81910
 
Пред. 1 ... 123 124 125 126 127 ... 167 След.
Читают тему