поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 163 164 165 166 167

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 08.09.2023 00:07:01

Malwarebytes Free

Похоже с территории Р.Ф. больше недоступен. ( только через VPN \ Tor )

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 08.09.2023 04:20:20

Цитата
RP55 RP55 написал: Malwarebytes Free Похоже с территории Р.Ф. больше недоступен. ( только через VPN \ Tor )

Давно уже. Дистр с офсайта недоступен, но обновления на установленное ПО еще работают.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 23.09.2023 05:57:26

К блокировке запуска установщиков и путей установки антивирусов добавилось блокировка записи данных в реестре.
Последняя выполняется, скорее всего другим зловредом. (Не Microsofthost.exe)
Предположительно, майнером, который маскируется под апдейтер Google Chrome.
Из активных зловредов в системе был файл, запускаемый через задачу

C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE

https://www.virustotal.com/gui/file/6e9b3d4db604e79c053e69230ba3fe2981a045796566f729c5dd782322d8ff2b/behavior

Цитата
Полное имя C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE Имя файла UPDATER.EXE Тек. статус ВИРУС в автозапуске Обнаруженные сигнатуры Сигнатура Win64/GenKryptik.GIIA (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2023-08-28 Сохраненная информация на момент создания образа Статус в автозапуске File_Id 647305189F0000 Linker 2.38 Размер 10381312 байт Создан 04.06.2023 в 12:10:53 Изменен 16.06.2023 в 18:07:21 TimeStamp 28.05.2023 в 07:39:04 EntryPoint + OS Version 0.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 64-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Версия файла 70,0,3538,110 Описание Google Chrome Производитель Google Inc. Доп. информация на момент обновления списка SHA1 F646E84DC91A32D2C06CC36E6FC7DF1F6C3D0D87 MD5 CBF41D5AA487E94FE7F1DBF6C1AE2ABB Ссылки на объект Ссылка C:\WINDOWS\SYSTEM32\TASKS\GOOGLEUPDATETASKMACHINEQC Task \GoogleUpdateTaskMachineQC Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{88932E95-EB12-423E-8FEB-B562CDB83B62}\Actions Actions "C:\Program Files\Google\Chrome\updater.exe" Задача создана 04.06.2023 в 12:10:53 Последний запуск 28.08.2023 в 11:14:07 Код ошибки 0x0 Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{88932E95-EB12-423E-8FEB-B562CDB83B62}\

Цитата

Полное имя C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
Имя файла UPDATER.EXE
Тек. статус ВИРУС в автозапуске

Обнаруженные сигнатуры
Сигнатура Win64/GenKryptik.GIIA (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2023-08-28

Сохраненная информация на момент создания образа
Статус в автозапуске
File_Id 647305189F0000
Linker 2.38
Размер 10381312 байт
Создан 04.06.2023 в 12:10:53
Изменен 16.06.2023 в 18:07:21

TimeStamp 28.05.2023 в 07:39:04
EntryPoint +
OS Version 0.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Версия файла 70,0,3538,110
Описание Google Chrome
Производитель Google Inc.

Доп. информация на момент обновления списка
SHA1 F646E84DC91A32D2C06CC36E6FC7DF1F6C3D0D87
MD5 CBF41D5AA487E94FE7F1DBF6C1AE2ABB

Ссылки на объект
Ссылка C:\WINDOWS\SYSTEM32\TASKS\GOOGLEUPDATETASKMACHINEQC
Task \GoogleUpdateTaskMachineQC

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{88932E95-EB12-423E-8FEB-B562CDB83B62}\Actions
Actions "C:\Program Files\Google\Chrome\updater.exe"
Задача создана 04.06.2023 в 12:10:53
Последний запуск 28.08.2023 в 11:14:07
Код ошибки 0x0

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{88932E95-EB12-423E-8FEB-B562CDB83B62}\

В ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node добавляют наименования антивирусных вендоров, и обрезают права записи, или вообще удаляют всех пользователей.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 10.10.2023 16:01:21

FRST после успешного запуска удаляет строку блокировки FRST64.exe

Цитата
HKU\S-1-5-21-3788994120-2036808167-1479317438-1001\...\Policies\Explorer\DisallowRun: [16] FRST64.exe => успешно удалены

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 08.11.2023 13:55:50

Какая животинка попалась:)
В лучших народных традициях.
cyberforum.ru/viruses/thread3138376.html

Task: {28A5D6E2-3727-427F-BC4E-197B719C56E1} - System32\Tasks\idsTYKIuEeScJ2 => C:\WINDOWS\system32\forfiles.exe [52224 2019-12-07] (Microsoft Windows -> Microsoft Corporation) -> /p C:\WINDOWS\system32 /m wscript.exe /c "cmd /C @FNAME ^"C:\ProgramData\KpUghsKSmazBhIVB\xKdWkBL.wsf^""

Task: {36503BAA-F523-477A-B7F7-235DB89E9CDC} - System32\Tasks\JpMmcIagcMrZpWo2 => C:\WINDOWS\system32\rundll32.exe [71680 2023-10-13] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\EOMtMqbsU\zYbGfY.dll",#1 <==== ВНИМАНИЕ

Task: {B8030E0F-2A57-4AC8-9777-D0F79BEFD6CA} - System32\Tasks\LgbpwhkWwbNUgYnUN2 => C:\WINDOWS\system32\rundll32.exe [71680 2023-10-13] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\MlhNYgvbxCfaQqDDSLR\yrxBvjn.dll",#1 <==== ВНИМАНИЕ

Task: {2E35A15A-A915-4138-927C-B12D86067109} - System32\Tasks\lkpLByDsYAZndVnHh2 => C:\WINDOWS\system32\rundll32.exe [71680 2023-10-13] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\osvzUzzULckpsZKDjNR\vtfEPHc.dll",#1 <==== ВНИМАНИЕ

Task: {766772D7-FA5A-4CAB-83AB-15C85659E4AF} - System32\Tasks\vzpaFkmsyDMLNV => C:\WINDOWS\system32\rundll32.exe [71680 2023-10-13] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\DTTEryjdJQWU2\DvxjyCdGyIWab.dll",#1 <==== ВНИМАНИЕ

Task: {C2EABD27-9011-4CFC-9AA5-7F4D56E56A0C} - System32\Tasks\wCLjlCDDptIPuqAiJNn2 => C:\WINDOWS\system32\rundll32.exe [71680 2023-10-13] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\VJFuhfjcXBtpC\AUdaytf.dll",#1 <==== ВНИМАНИЕ

Task: {7B46A91B-FF15-4046-9339-22A88C8F0BCB} - System32\Tasks\xoqaKKiQlDbilCe => C:\WINDOWS\system32\rundll32.exe [71680 2023-10-13] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\cdsQlFJCU\lbqapi.dll",#1 <==== ВНИМАНИЕ

Task: {26E3CB66-C447-46C2-9DD7-FE13EAE7ABD4} - System32\Tasks\YwJpGkkqmEHgH2 => C:\WINDOWS\system32\forfiles.exe [52224 2019-12-07] (Microsoft Windows -> Microsoft Corporation) -> /p C:\WINDOWS\system32 /m wscript.exe /c "cmd /C @FNAME ^"C:\ProgramData\RiOIlCLDtCdFBbVB\HVYwbuB.wsf^""

Task: {783D9AE4-5670-4045-BE79-AABFE24275BE} - System32\Tasks\zOYapUfeYLvVw2 => C:\WINDOWS\system32\forfiles.exe [52224 2019-12-07] (Microsoft Windows -> Microsoft Corporation) -> /p C:\WINDOWS\system32 /m wscript.exe /c "cmd /C @FNAME ^"C:\ProgramData\ujhWabTdVbexiIVB\nQRsNbJ.wsf^""

Task: {30B5511C-F4AC-46E5-B07E-D6BA7CF9C00C} - System32\Tasks\ZSJMphjpRdLNJLj2 => C:\WINDOWS\system32\rundll32.exe [71680 2023-10-13] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\bLTyexJvU\vjCGIa.dll",#1 <==== ВНИМАНИЕ

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 09.11.2023 14:52:30

Цитата
RP55 RP55 написал: Task: {28A5D6E2-3727-427F-BC4E-197B719C56E1} - System32\Tasks\idsTYKIuEeScJ2 => C:\WINDOWS\system32\forfiles.exe [52224 2019-12-07] (Microsoft Windows -> Microsoft Corporation) -> /p C:\WINDOWS\system32 /m wscript.exe /c "cmd /C @FNAME ^"C:\ProgramData\KpUghsKSmazBhIVB\xKdWkBL.wsf^""

HJ можно списать после такого детекта:
O22 - Tasks: idsTYKIuEeScJ2 - C:\WINDOWS\system32\forfiles.exe /p C:\WINDOWS\system32 /m wscript.exe /c "cmd /C @FNAME ^"C:\ProgramData\KpUghsKSmazBhIVB\xKdWkBL.wsf^"" (sign: 'Microsoft')
Но без образа все это скучно смотреть.

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 09.11.2023 17:51:27

Цитата
santy написал: HJ можно списать после такого детекта:

Да... Но и так видно что к чему. :)
cyberforum.ru/viruses/thread3138827.html

Может и "дойдёт" до разработчиков...

O22 - Tasks: BNVT - C:\Users\Computer\AppData\Local\Programs\Python\Python36-32\pythonw.exe C:\Users\Computer\AppData\Local\KEIYY\WJKVQ.py YdzXkne (sign: 'Python Software Foundation')

Это как: Кто кинул кирпич ? Кирпич кинул приличный человек... А, тогда всё в порядке ;)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 11.11.2023 06:15:32

Цитата
RP55 RP55 написал: Это как: Кто кинул кирпич ? Кирпич кинул приличный человек... А, тогда всё в порядке

Да, примерно так

[ Как создать образ автозапуска? ]

Пред. 1 ... 163 164 165 166 167