поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 162 163 164 165 166

Сообщений: 6162

Баллов: 4929

Регистрация: 25.05.2010

Размещено 12.12.2022 16:33:38

Антивирусы могут использоваться для удаления системных файлов Windows
Любопытно, хоть что-то новое. :)

Сообщений: 6162

Баллов: 4929

Регистрация: 25.05.2010

Размещено 14.01.2023 16:40:31

Тактики, техники и процедуры современных группировок вымогателей 163 страницы.Если кто осилит.

Изменено: RP55 RP55 - 14.01.2023 16:41:25

Сообщений: 17792

Баллов: 14233

Регистрация: 16.03.2010

Размещено 13.03.2023 14:14:15

ESET стал детектировать uVS
Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь
13.03.2023 21:10:31;Защита файловой системы в реальном времени;файл;E:\soft\avirus\Universal Virus Sniffer latest\ayedge;Suspicious Object;очищено удалением (после следующего перезапуска);NT AUTHORITY\система;Событие произошло при попытке получения доступа к файлу следующим приложением: C:\Windows\System32\SearchProtocolHost.exe (D7F955DF3682F3C9F51F4CE16B4DA8E77EC1C198).;7B666291C6ABD8C367FF250DF205BBF08830CDE3;05.01.2023 12:20:12

[ Как создать образ автозапуска? ]

Сообщений: 6162

Баллов: 4929

Регистрация: 25.05.2010

Размещено 13.03.2023 16:42:45

Цитата
santy написал: ESET стал детектировать uVS

А версия баз антивируса ?
Однако мне кажется это не связано с базами...
Это что-то в параметрах\настройках. ( ;Suspicious Object )
----
По SHA1 ( проверка V.T ) со стороны ESET Нет реакции:

https://www.virustotal.com/gui/file/544d3f6d678b5f2a9c51fe43df6d58e18104f97009fdf659c79cb6fbc3077448?nocache=1

Изменено: RP55 RP55 - 13.03.2023 16:45:56

Сообщений: 17792

Баллов: 14233

Регистрация: 16.03.2010

Размещено 14.03.2023 02:40:36

даже при отключении детектирования категории "подозрительные приложения" модуль запуска, который создается с пощью start.exe блокируется как Suspicious Object
сейчас можно просто добавить хэш модуля 7B666291C6ABD8C367FF250DF205BBF08830CDE3 в исключение для любых обнаружений.

[ Как создать образ автозапуска? ]

Сообщений: 6162

Баллов: 4929

Регистрация: 25.05.2010

Размещено 14.03.2023 13:02:47

Возможно это реакция на переименование файла - можно попробовать задать в настройках:

bFixedName = 1
; Запускать uVS с постоянным именем, для удаленных систем по постоянному пути.

Изменено: RP55 RP55 - 14.03.2023 13:04:23

Сообщений: 17792

Баллов: 14233

Регистрация: 16.03.2010

Размещено 17.03.2023 06:06:22

Цитата
RP55 RP55 написал: bFixedName = 1; Запускать uVS с постоянным именем, для удаленных систем по постоянному пути. Изменено: RP55 RP55 - 14.03.2023 13:04:23

не помогло, вернул прежний типа запуска bFixedName=0
помогают два исключения при включенных сбалансированных настройках:
по хэшу:
7B666291C6ABD8C367FF250DF205BBF08830CDE3
и наименованию детекта:
Win32/UniversalVirusSniffer.A

[ Как создать образ автозапуска? ]

Пред. 1 ... 162 163 164 165 166