поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 126 127 128 129 130 ... 167 След.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.02.2015 14:07:24

*[email protected]
https://www.virustotal.com/ru/file/c4bf85dce8c3facf28d583d6c409a2f17468aa5e99f70b2827d47946301e70b1/...
свежий блин, еще не детектируется в ESET

[ Как создать образ автозапуска? ]

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 05.02.2015 18:46:40

К сожалению это как борьба с ветряными мельницами.
Много романтики.
и...

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.02.2015 19:17:31

такова жизнь.
с одной стороны романтики, которые борются с ветряными мельницами, а с другой прагматики, которые вызывают наряд милиции для бабушки с подозрением на пачку масла мимо кассы.

Изменено: santy - 05.02.2015 19:19:03

[ Как создать образ автозапуска? ]

Сообщений: 142

Баллов: 113

Регистрация: 10.06.2011

Размещено 12.02.2015 22:50:57

А между тем, пошла новая версия bat шифратора. Все стандартно письмо, js скрипт, gnupg. Зашифрованные файлы получают расширение .vault

js скрипт - https://www.virustotal.com/ru/file/3545a9bc83d1abd7a4515b695cc49e11d2cacbb21bdd596f82df3c2aee1799f2/...

переименованная gnupg - https://www.virustotal.com/ru/file/522b3ce1461fc0a2819853f75618392f7e0a687330f06e8b3cc8c38cb152d42d/...

Михаил

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.02.2015 05:55:06

угу, возвращеньице не из приятных
http://forum.drweb.com/index.php?showtopic=320137

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.02.2015 11:27:34

похоже что троян Stantinko связан с работой расширения браузера (добавлено в Хром и Фаерфокс)

Цитата
Column Name Value Threat Id Threat 4683 Client Name *** Computer Name * MAC Address * Primary Server *** Date Received 2015-02-16 10:08:50 Date Occurred 2015-02-13 17:26:45 Level Warning Scanner Real-time file system protection Object file Name C:\users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\js\bg.js Threat Win32/Adware.Adstantinko.A application Action cleaned by deleting - quarantined User NT AUTHORITY\система Information Event occurred during an attempt to access the file by the application: C:\Windows\System32\svchost.exe.

Цитата

Column Name Value
Threat Id Threat 4683
Client Name *****
Computer Name *****
MAC Address *****
Primary Server *****
Date Received 2015-02-16 10:08:50
Date Occurred 2015-02-13 17:26:45
Level Warning
Scanner Real-time file system protection
Object file
Name C:\users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\js\bg.js
Threat Win32/Adware.Adstantinko.A application
Action cleaned by deleting - quarantined
User NT AUTHORITY\система
Information Event occurred during an attempt to access the file by the application: C:\Windows\System32\svchost.exe.

Цитата
Column Name Value Threat Id Threat 4682 Client Name ** Computer Name * MAC Address * Primary Server *** Date Received 2015-02-16 10:08:50 Date Occurred 2015-02-13 17:26:43 Level Warning Scanner Real-time file system protection Object file Name C:\users\user\AppData\Roaming\Mozilla\Firefox\Profiles\od3iskln.default\extensions\{2A4702A6-63E6-46E4-BEF3-E2769B6774A0}\chrome\content\js\bg.js Threat Win32/Adware.Adstantinko.A application Action cleaned by deleting - quarantined User NT AUTHORITY\система Information Event occurred during an attempt to access the file by the application: C:\Windows\System32\svchost.exe.

Цитата

Column Name Value
Threat Id Threat 4682
Client Name ****
Computer Name *****
MAC Address *****
Primary Server *****
Date Received 2015-02-16 10:08:50
Date Occurred 2015-02-13 17:26:43
Level Warning
Scanner Real-time file system protection
Object file
Name C:\users\user\AppData\Roaming\Mozilla\Firefox\Profiles\od3iskln.default\extensions\{2A4702A6-63E6-46E4-BEF3-E2769B6774A0}\chrome\content\js\bg.js
Threat Win32/Adware.Adstantinko.A application
Action cleaned by deleting - quarantined
User NT AUTHORITY\система
Information Event occurred during an attempt to access the file by the application: C:\Windows\System32\svchost.exe.

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.02.2015 12:56:37

vault.
пример письма (с шифратором vault), к которому приложили руки соц_инженеры.

ссылка в письме ведет на вредоносный архив из сети.
при скачивании архива из сети, и запуска вложения из архива, ваши документы уже никогда не вернутся в первоначальное состояние, если только нет возможности их восстановления из архивных или теневых копий.

Цитата
Добрый день! К нам заявились налоговики с проверкой(( Мы уже второй день пытаемся найти некоторые первичные документы, касающиеся нашего сотрудничества. Но в связи с переездом в новый офис, акты и несколько договоров между нами так и не были найдены. Я составила список документов (во вложении). Прошу Вас помочь с их поиском... Скиньте хотя бы скан-копии, а то мы влетим на штрафы. Заранее большое спасибо! Прикреплённые файлы: 1. Список документов.zip -- С Уважением Сотрудники бухгалтерии ООО "Город Инструмента"

Цитата

Добрый день!

К нам заявились налоговики с проверкой((
Мы уже второй день пытаемся найти некоторые первичные документы, касающиеся нашего сотрудничества.
Но в связи с переездом в новый офис, акты и несколько договоров между нами так и не были найдены.
Я составила список документов (во вложении). Прошу Вас помочь с их поиском...
Скиньте хотя бы скан-копии, а то мы влетим на штрафы.
Заранее большое спасибо!

Прикреплённые файлы:
1. Список документов.zip

--
С Уважением
Сотрудники бухгалтерии
ООО "Город Инструмента"

Прикрепленные файлы

vault.jpg (87.37 КБ)

Изменено: santy - 21.02.2015 16:25:51

[ Как создать образ автозапуска? ]

Сообщений: 142

Баллов: 113

Регистрация: 10.06.2011

Размещено 22.02.2015 15:18:26

Все видели как нужно расшифровывать зашифрованные файлы?

Михаил

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 22.02.2015 16:34:46

Код
Чтобы расшифровать файлы нужно расшифровать антивирус.

Сообщений: 19

Баллов: 9

Регистрация: 09.04.2013

Размещено 25.02.2015 14:58:39

лучше бы я это не смотрел, все стало ясно с первых секунд, когда аффтор рассказал о преимуществах аваста

Пред. 1 ... 126 127 128 129 130 ... 167 След.