поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 161 162 163 164 165
#невидимый руткит:

Цитата
uVS:
C:\Windows\system32\lsass.exe
137.91%:
C:\WINDOWS\SYSTEM32\WININIT.EXE
0.0.0.0:49193
192.168.1.63:49212 <-> 103.124.106.123:443
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [868], tid=3184

Цитата
KVRT ничего подозрительного не обнаружил

TDSSKiller:
Цитата
16:53:47.0899 0x0abc  TDSS rootkit removing tool 3.1.0.28 Apr  9 2019 21:11:46
16:53:49.0903 0x0abc  ============================================================­
16:53:49.0903 0x0abc  Current date / time: 2022/02/20 16:53:49.0903
...
16:55:37.0084 0x17d4  ============================================================­
16:55:37.0084 0x17d4  Scan finished
16:55:37.0084 0x17d4  ============================================================­
16:55:37.0086 0x17c8  Detected object count: 0
16:55:37.0086 0x17c8  Actual detected object count: 0
16:56:12.0805 0x0a0c  Deinitialize success

Цитата
CureIt! использовал в первую очередь, теперь еще раз самую свежую версию - вообще никаких угроз не обнаружено.

FRST:
Цитата

============== FLock ==============================
2022-02-07 21:40 C:\Windows\system32\Drivers\2682j.sys

---------------
fixlog:

Цитата
"C:\Windows\system32\Drivers\2682j.sys" => не может быть разблокирован

========================= File: C:\Windows\system32\Drivers\2682j.sys ========================

C:\Windows\system32\Drivers\2682j.sys
Файл не подписан
MD5:  <==== ВНИМАНИЕ (Доступ не разрешён)
Дата создания и изменения: 2022-02-05 19:30 - 2022-02-07 21:40
Размер: 006891104
Атрибуты: ----N
Название Компании :
Внутренний Имя:
Оригинальный Имя:
Продукт:
Описание:
Файл Версия:
Продукт Версия:
Авторское право:
VirusTotal: 0-byte

====== Конец от File: ======

VirusTotal: C:\Windows\system32\Drivers\2682j.sys =>  <==== ВНИМАНИЕ (Доступ не разрешён)
ждем образ автозапуска из под WnPE&uVS




https://virusinfo.info/showthread.php?t=227658
...
44-02_144.jpg (76.08 КБ)
атака через чистый подписанный файл, который загружает вредоносную dll, извлекает код из зашифрованного файла, и внедряет в легитимный процесс


Цитата
Полное имя                  C:\PROGRAMDATA\ESETDATA\MCUPDUI.EXE
Имя файла                   MCUPDUI.EXE
Тек. статус                 сервис в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      сервис в автозапуске
Инф. о файле                The system cannot find the path specified.
Цифр. подпись               проверка не производилась
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\ESETdata\ImagePath
ImagePath                   "C:\ProgramData\ESETdata\mcupdui.exe" "200"
DisplayName                 ESETdata
Description                 ESETdata
ESETdata                    тип запуска: Авто (2)
Изменен                     28.09.2021 в 08:28:23

Хакерская группа Lapsus$ сообщает, что заполучила 37 ГБ исходного кода сервисов Microsoft
https://www.comss.ru/page.php?id=10310
------------
А на anti-malware.ru форум вендоров уже пару дней...
MS Word Follina Exploit
https://www.bleepingcomputer.com/news/security/new-microsoft-office-zero-day-used-in-attacks-to-execute-powershell/
https://forum.eset.com/topic/32571-ms-word-follina-exploit-not-detected/
PuzzleMedia в зеркале uVS, (к сожалению, образ был создан версией 4.11 без возможности включить отслеживание процессов и задач)

C:\USERS\USER\APPDATA\LOCAL\PROGRAMS\TRANSMISSION\TRANSMISSION­-QT.EXE
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\USERS\USER\APPDATA\LOCAL\PROGRAMS\TRANSMISSION\TRANSMISSION­-QT.EXE [3948], tid=5508
C:\USERS\DIMA-\APPDATA\LOCAL\PROGRAMS\TRANSMISSION\QT5CORE.DLL
HEUR:Trojan.Win32.Miner.gen [Kaspersky]
C:\WINDOWS\SYSTEM32\DLLHOST.EXE
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\DLLHOST.EXE [1936], tid=8928
C:\ProgramData\PuzzleMedia\print.exe --farm-recheck 1000 --farm-retries 300 -P stratum+tcp://13.51.156.23:80
"C:\ProgramData\PuzzleMedia\print.exe"
Тяжелый случай с Powemet. Обычно проблема с этим майнером легко решается.
Но здесь решение затянулось почти на месяц.
https://www.cyberforum.ru/viruses/thread3003231.html
Надо отметить настойчивость и терпение хелперов (и пользователя) - все равно нашли решение для крайне нестандартного случая.
Здравствуйте! Хотел создать у Вас тему с описанием проблемы из-за вирусов, но возникла проблема.

Вот это прочитал https://forum.esetnod32.ru/forum6/topic5713/  Там написано, что нужно выполнить лог программой UVS! Так вот я скачал UVS и далее запустил.

Но возникла некоторая проблема!




У меня Windows 11 сейчас) Точно ли все нормально? (этот файл как раз из папки с программой UVS!
Цитата
Oleg Oleg написал:
У меня Windows 11 сейчас) Точно ли все нормально? (этот файл как раз из папки с программой UVS!
Ложное срабатывание от Windows Defender. Надо либо отключить защиту на момент создания образа, либо добавить папку с uVS в исключение.
Operating memory » a variant of Win32/Spy.Agent.QGW trojan

1.
по журналу ELC:
20.01.2022 9:40:02 Advanced memory scanner file Operating memory » C:\Users\itc-omn\AppData\Local\Temp\1ca9c872.dll multiple threats deleted 4EC9095A35736DFFE889AC992A4460A6C780972F
20.01.2022 9:39:54 Advanced memory scanner file Operating memory » C:\Users\itc-omn\AppData\Local\Temp\1ca9c872.dll multiple threats deleted F378F3E53FF08A9DF28586DE383A8A4D3B1F35EB

по ESI:
"Командная строка" = "c:\users\itc-omn\appdata\local\asus giftbox\user data\a3f739aa\vmplayer.exe -us:8 -lznupsl:12" ( 9: Высокий риск ) ;  ;  ;
"Командная строка" = "c:\users\itc-omn\appdata\local\apps\f2238d51\vnplayer.exe /xsqlrl:66576859 /bk /wfu /bziujw:825" ( 9: Высокий риск ) ;  ;  ;
"Модуль" = "c:\users\itc-omn\appdata\local\temp\34a8f4f8.dll" ( 6: Неизвестно ) ;
"Модуль" = "c:\users\itc-omn\appdata\local\temp\1ca9c872.dll" ( 6: Неизвестно ) ;

uVS:
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSWOW64\SVCHOST.EXE [10212]
"C:\Users\itc-omn\AppData\Local\ASUS GIFTBOX\User Data\a3f739aa\vmplayer.exe" -us:8 -lznupsl:12
C:\Users\itc-omn\AppData\Local\Apps\f2238d51\vnplayer.exe /xsqlrl:66576859 /bk /wfu /bziujw:825
---------------------------------------
2.
по журналу ELC:
03.08.2022 16:21:55 Advanced memory scanner file Operating memory » C:\Users\Дмитрий\AppData\Local\Temp\28e86510.dll a variant of Win32/Spy.Agent.QGW trojan cleaned by deleting E270A42E0B87887376DE25E48312CFF2571DB9A3
03.08.2022 16:21:50 Advanced memory scanner file Operating memory » C:\Users\Дмитрий\AppData\Local\Temp\28e86510.dll a variant of Win32/Spy.Agent.QGW trojan cleaned by deleting 5F66A0781CDCECDF6C65F348E189362EF587274F

по ESI:
cmd.exe, 3180, COMP-BDA\Дмитрий, , Windows Command Processor, Microsoft Corporation, "C:\Windows\system32\cmd.exe"
c:\users\Дмитрий\appdata\roaming\java.exe /pj=9757386 /zgvlo=92 /nbw /mkj=13105, ,

по uVS:
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSWOW64\CMD.EXE [3180]
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSWOW64\DLLHOST.EXE [3492]
Ошибка доступа к файлу: C:\USERS\ДМИТРИЙ\APPDATA\ROAMING\JAVA.EXE
192.168.11.195:50568 <-> 45.136.51.50:5873
"C:\Users\Дмитрий\AppData\Roaming\java.exe" /pj=9757386 /zgvlo=92 /nbw /mkj=13105

3.
по ELC:
22.09.2022 12:56:59    Advanced memory scanner    file    Operating memory » C:\Users\igor\AppData\Local\Temp\1a10b5ce.dll    a variant of Win32/Spy.Agent.QGW trojan    cleaned by deleting            3634BFE5E04A47482E02F849D0C5FACA31213B0F        
22.09.2022 12:55:09    Advanced memory scanner    file    Operating memory » C:\Users\igor\AppData\Local\Temp\1a10b5ce.dll    a variant of Win32/Spy.Agent.QGW trojan    cleaned by deleting            B7C9EDF0683C243AD74CA7D2760003A3EC3806A5        

по ESI:
cmd.exe, 11848, DESKTOP-E9NA6G1\igor, , Windows Command Processor, Microsoft Corporation, "C:\Windows\system32\cmd.exe"
dllhost.exe, 14140, DESKTOP-E9NA6G1\igor, , COM Surrogate, Microsoft Corporation, "C:\Windows\system32\dllhost.exe"
c:\users\igor\appdata\roaming\msidb.exe /hxxsx:8484 /om:7 /eqcirph /qdkfh, ,

по uVS:
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSWOW64\CMD.EXE [9684]
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSWOW64\CMD.EXE [9684], tid=12516
192.168.0.10:51628 <-> 5.45.93.247:5959
"C:\Users\igor\AppData\Roaming\MsiDb.exe" /hxxsx:8484 /om:7 /eqcirph /qdkfh
Пред. 1 ... 161 162 163 164 165
Читают тему (гостей: 1)