Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

поговорить о uVS, Carberp, планете Земля

RSS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.11.2011 19:06:42
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 12 13 14 15 16 ... 167 След.
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 03.12.2011 19:41:16
Кстати, сегодня запускал виртуалку, которую около недели не запускал. Там был не вылеченный Carberp, который виделся Нодом сигнатурно на тот момент. Запустил машину, сразу не понял что трафик побежал, через минуту отключил там сеть. Carberp потратил около 1 мб трафика. После этого он модифицировался - изменился размер программы, имя. Нод уже его не видел как вирус (базы не свежие были), но видел как угрозу в памяти. Удалить сканированием этот экземпляр не получилось. Сейчас обновлюсь и попробую также удалить как и в прошлый раз.
Кстати, модификация AD
Image 185.png (22.94 КБ)
Правильно заданный вопрос - это уже половина ответа
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 03.12.2011 19:52:49
Да, получилось после обновления удалить вирус через сканирование папки. Сканирование памяти не дает ничего. Может небольшой мануал со скринами накидать? :)
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 03.12.2011 19:58:15
Арвид, попробуй обобщить все методы удаления Carberp (образ uVS, сканирование оперативной, журнал угроз, сканирование папки документов и т.д.) и можно добавить как отдельную статью в полезную информацию. Скрипты только не пиши универсальные.
Будем давать ссылку на эту статью при лечение Carberp.
и здесь можно ссылку на нее дать.
--------
в каком виде получится, можно опубликовать. Возможно какие то исправления или предложения будут от RP55, ZloyDi, santy, Валентин, можно что-то будет добавить или исправить, и окончательный вариант уже поместить на форум.
Все легче будет отсылать посетителей к теме лечения Carberp.
Изменено: santy - 03.12.2011 20:03:09
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 03.12.2011 19:59:42
в принципе обобщать нечего - главное чтобы Нод сигнатурно определял эту модификацию, тогда он справится.
сейчас напишу
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 03.12.2011 20:05:30
Цитата
Арвид пишет:
Да, получилось после обновления удалить вирус через сканирование папки. Сканирование памяти не дает ничего. Может небольшой мануал со скринами накидать?  
а как ты базы обновил? предварительно выгрузил Carberp?
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 03.12.2011 20:06:28
нет, антивирус спокойно обновляет при активном вирусу. ни разу не было проблем с обновлением. Carberp этому не мешает
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 03.12.2011 20:12:06
маскируется значит. но не всегда так бывает.встречается "ошибка распаковки файла" при живом Carberp.
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 03.12.2011 21:34:48
Как избавить от вируса Carberp
Для начала пойдет  :)
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 03.12.2011 21:47:15
в таком варианте - отлично,
будут какие то идеи или дополнения, напишу.
посмотрим, как будет работать. прикрепил ее повыше, чтобы не терялась.
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 03.12.2011 22:20:33
Арвид
Хорошая инструкция.  :)

И кстати говоря, если будет желание можно проверить взаимодействие трёх программ.
Sandboxie.com

Sandboxie > uVS > Carberp.
Смысл: Sandboxie создаёт - "Sandboxie Kernel Mode Driver - SBIEDRV.SYS"
т.е работает на уровне ядра системы...
Скажем запустить uVS в Sandboxie и посмотреть - как она будет Реагировать на Carberp.
И, на ряд других руткитов.

Немного ненаучно - но ради эксперимента можно попробовать.  :oops:   :D
 
Пред. 1 ... 12 13 14 15 16 ... 167 След.
Читают тему