поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 155 156 157 158 159 ... 167 След.

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 25.12.2020 11:34:27

Видимо в uVS есть недоработка.
В образах нет информации по файлам каталога.
Даже если файлы на момент создания образа были не активны.
Что их запускало: Расширения браузера; RUNDLL32.EXE; ADNEKMOD8B4.DLL
Странная история.

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 25.12.2020 13:44:06

Цитата
santy написал: возможно, проблема в этом:

forum.kasperskyclub.ru/topic/78938-prihodit-uvedomlenie-o-priostanovke-zagruzki-vredonosnogo-fajla/

Что уж там загружалось...

Прикрепленные файлы

image.png.12dc9a4897ab4629ce8519308d4dafd4.jpg (151.65 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.12.2020 14:03:04

да, возможно это одна история,
веб-антивирус не показывает каким способом была инициирована загрузка:
или скриптом при просмотре зараженной страницы,
или это "нерегламентированная" функция, внедренная в код легального расширения браузера.
-----------
историю не так то просто отмотать на момент "Большого взрыва",
слишком много неизвестных, да и объекты распределены по ролям: какой-нибудь эксплойт приводит на зараженную страницу, отрабатывает загрузчик, загрузчик скачивает полезную нагрузку, прячет ее в системе, и прописывает автозапуск - на этом теряется связь. полезная нагрузка может некоторое время маскироваться в системе и спать, и только спустя время пытается загрузиться с систему, чтобы выполнить программу своих отцов-создателей.

+
похоже, что это одна история:
https://forum.kasperskyclub.ru/topic/78972-vredonosnyj-sajt-ot-chrome-gatpsstatcom/

[ Как создать образ автозапуска? ]

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 29.12.2020 14:04:31

А потом вы станете холодцом э... т.е. молодцом.
https://www.comss.ru/page.php?id=8416
~~МОЛОДЦЫ.~~

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 29.12.2020 17:53:40

+
С FRST в плане удаления папок с: 000000000
нужно действовать осторожно.
По идее это пустые папки - но я специально смотрел: в логе 000000000 а по факту в папке есть файлы...
Так что без необходимости я бы не стал...

Изменено: RP55 RP55 - 29.12.2020 17:54:46

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 20.01.2021 08:30:16

Новости
Форум IObit взломан и распространяет ( распространял ) шифровальщика ( DeroHE.A ) среди пользователей
https://xakep.ru/2021/01/19/iobit-hack/
-------
Да по поводу FRST программа может писать: 000000000 для каталогов к которым у неё\пользователя нет прав доступа.

Изменено: RP55 RP55 - 20.01.2021 08:30:47

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.01.2021 15:53:33

[QUOTE]RP55 RP55 написал:
Новости
Форум IObit взломан и распространяет ( распространял ) шифровальщика ( DeroHE.A ) среди пользователей
https://xakep.ru/2021/01/19/iobit-hack/
-------
BleepingComputer обратился к IObit с вопросами, связанными с этой атакой, но не получил ответа.

Обновлено 19.01.20: Исследователь безопасности, известный как Ронни, сообщил BleepingComputer, что IOBit использует vBulletin 5.6.1 для своего программного обеспечения для форумов.

Эта версия vBulletin имеет известную уязвимость, которая позволяет удаленным злоумышленникам получить контроль над форумом.

https://www.bleepingcomputer.com/news/security/iobit-forums-hacked-to-spread-ransomware-to-its-members/

остается дождаться вердикта специалистов - возможна расшифровка файлов или нет.

[ Как создать образ автозапуска? ]

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 27.01.2021 22:07:00

C:\Users\User\AppData\Local\Appdater\Updater\4882f5f1f1\Updater.exe

Сразу видно, что не зря в школах ЕГЭ внедрили.
Красота...
Лепота...

forum.kasperskyclub.ru/topic/79652-podmena-pri-skachivanii-fajlov-name_exe/

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 29.01.2021 14:53:53

Провёл с FRST эксперимент. ( для подтверждения )

Создал папку:
2021-01-28 10:26 - 2021-01-28 10:26 - 000000000 ____D C:\Проба

для fixlist.txt изменил запись на:
2019-01-28 10:26 - 2019-01-28 10:26 - 000000000 ____D C:\Проба
и прописал в варианте:
C:\Проба

Получил:
C:\Проба => moved successfully

Как и предполагалось :) учитывается только путь.

--------------
Значит можно написать универсальный скрипт для разблокирования каталогов антивирусов.
так, как изменения моли быть произведены и год и два назад и FRST этого может просто в логе не увидеть\не показать.
Как итог ошибка при установке.

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 06.02.2021 19:48:54

Помощь с Крепким животным: virusinfo.info/showthread.php?t=226333&s=6a44e845e0ec8a5bf18711c69db84ced
и Покойный, устаревший антивирус.

Изменено: RP55 RP55 - 06.02.2021 19:50:34

Пред. 1 ... 155 156 157 158 159 ... 167 След.