Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 163 164 165 166 167
Malwarebytes Free

Похоже с территории Р.Ф. больше недоступен. ( только через VPN \ Tor )
Цитата
RP55 RP55 написал:
Malwarebytes Free

Похоже с территории Р.Ф. больше недоступен. ( только через VPN \ Tor )
Давно уже. Дистр с офсайта недоступен, но обновления на установленное ПО еще работают.
К блокировке запуска установщиков и путей установки антивирусов добавилось блокировка записи данных в реестре.
Последняя выполняется, скорее всего другим зловредом. (Не Microsofthost.exe)
Предположительно, майнером, который маскируется под апдейтер Google Chrome.
Из активных зловредов в системе был файл, запускаемый через задачу

C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE

https://www.virustotal.com/gui/file/6e9b3d4db604e79c053e69230ba3fe2981a045796566f72­9c5dd782322d8ff2b/behavior

Цитата
Полное имя                  C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
Имя файла                   UPDATER.EXE
Тек. статус                 ВИРУС в автозапуске
                           
Обнаруженные сигнатуры      
Сигнатура                   Win64/GenKryptik.GIIA (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2023-08-28
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
File_Id                     647305189F0000
Linker                      2.38
Размер                      10381312 байт
Создан                      04.06.2023 в 12:10:53
Изменен                     16.06.2023 в 18:07:21
                           
TimeStamp                   28.05.2023 в 07:39:04
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Версия файла                70,0,3538,110
Описание                    Google Chrome
Производитель               Google Inc.
                           
Доп. информация             на момент обновления списка
SHA1                        F646E84DC91A32D2C06CC36E6FC7DF1F6C3D0D87
MD5                         CBF41D5AA487E94FE7F1DBF6C1AE2ABB
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\GOOGLEUPDATETASKMACHINEQC
Task                        \GoogleUpdateTaskMachineQC
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{88932E95-EB12-423E-8FEB-B562CDB83B62}\Actions
Actions                     "C:\Program Files\Google\Chrome\updater.exe"
Задача создана              04.06.2023 в 12:10:53
Последний запуск            28.08.2023 в 11:14:07
Код ошибки                  0x0
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{88932E95-EB12-423E-8FEB-B562CDB83B62}\
                           

В ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node добавляют наименования антивирусных вендоров, и обрезают права записи, или вообще удаляют всех пользователей.

FRST после успешного запуска удаляет строку блокировки FRST64.exe :)
Цитата
HKU\S-1-5-21-3788994120-2036808167-1479317438-1001\...\Policies\Explorer\DisallowRun: [16] FRST64.exe => успешно удалены
Какая животинка попалась:)
В лучших народных традициях.
cyberforum.ru/viruses/thread3138376.html


Task: {28A5D6E2-3727-427F-BC4E-197B719C56E1} - System32\Tasks\idsTYKIuEeScJ2 => C:\WINDOWS\system32\forfiles.exe [52224 2019-12-07] (Microsoft Windows -> Microsoft Corporation) -> /p C:\WINDOWS\system32 /m wscript.exe /c "cmd /C @FNAME ^"C:\ProgramData\KpUghsKSmazBhIVB\xKdWkBL.wsf^""

Task: {36503BAA-F523-477A-B7F7-235DB89E9CDC} - System32\Tasks\JpMmcIagcMrZpWo2 => C:\WINDOWS\system32\rundll32.exe [71680 2023-10-13] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\EOMtMqbsU\zYbGfY.dll",#1 <==== ВНИМАНИЕ

Task: {B8030E0F-2A57-4AC8-9777-D0F79BEFD6CA} - System32\Tasks\LgbpwhkWwbNUgYnUN2 => C:\WINDOWS\system32\rundll32.exe [71680 2023-10-13] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\MlhNYgvbxCfaQqDDSLR\yrxBvjn.dll",#1 <==== ВНИМАНИЕ

Task: {2E35A15A-A915-4138-927C-B12D86067109} - System32\Tasks\lkpLByDsYAZndVnHh2 => C:\WINDOWS\system32\rundll32.exe [71680 2023-10-13] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\osvzUzzULckpsZKDjNR\vtfEPHc.dll",#1 <==== ВНИМАНИЕ

Task: {766772D7-FA5A-4CAB-83AB-15C85659E4AF} - System32\Tasks\vzpaFkmsyDMLNV => C:\WINDOWS\system32\rundll32.exe [71680 2023-10-13] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\DTTEryjdJQWU2\DvxjyCdGyIWab.dll",#1 <==== ВНИМАНИЕ

Task: {C2EABD27-9011-4CFC-9AA5-7F4D56E56A0C} - System32\Tasks\wCLjlCDDptIPuqAiJNn2 => C:\WINDOWS\system32\rundll32.exe [71680 2023-10-13] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\VJFuhfjcXBtpC\AUdaytf.dll",#1 <==== ВНИМАНИЕ

Task: {7B46A91B-FF15-4046-9339-22A88C8F0BCB} - System32\Tasks\xoqaKKiQlDbilCe => C:\WINDOWS\system32\rundll32.exe [71680 2023-10-13] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\cdsQlFJCU\lbqapi.dll",#1 <==== ВНИМАНИЕ

Task: {26E3CB66-C447-46C2-9DD7-FE13EAE7ABD4} - System32\Tasks\YwJpGkkqmEHgH2 => C:\WINDOWS\system32\forfiles.exe [52224 2019-12-07] (Microsoft Windows -> Microsoft Corporation) -> /p C:\WINDOWS\system32 /m wscript.exe /c "cmd /C @FNAME ^"C:\ProgramData\RiOIlCLDtCdFBbVB\HVYwbuB.wsf^""

Task: {783D9AE4-5670-4045-BE79-AABFE24275BE} - System32\Tasks\zOYapUfeYLvVw2 => C:\WINDOWS\system32\forfiles.exe [52224 2019-12-07] (Microsoft Windows -> Microsoft Corporation) -> /p C:\WINDOWS\system32 /m wscript.exe /c "cmd /C @FNAME ^"C:\ProgramData\ujhWabTdVbexiIVB\nQRsNbJ.wsf^""

Task: {30B5511C-F4AC-46E5-B07E-D6BA7CF9C00C} - System32\Tasks\ZSJMphjpRdLNJLj2 => C:\WINDOWS\system32\rundll32.exe [71680 2023-10-13] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\bLTyexJvU\vjCGIa.dll",#1 <==== ВНИМАНИЕ
Цитата
RP55 RP55 написал:
Task: {28A5D6E2-3727-427F-BC4E-197B719C56E1} - System32\Tasks\idsTYKIuEeScJ2 => C:\WINDOWS\system32\forfiles.exe [52224 2019-12-07] (Microsoft Windows -> Microsoft Corporation) -> /p C:\WINDOWS\system32 /m wscript.exe /c "cmd /C @FNAME ^"C:\ProgramData\KpUghsKSmazBhIVB\xKdWkBL.wsf^""

HJ можно списать после такого детекта:
O22 - Tasks: idsTYKIuEeScJ2 - C:\WINDOWS\system32\forfiles.exe /p C:\WINDOWS\system32 /m wscript.exe /c "cmd /C @FNAME ^"C:\ProgramData\KpUghsKSmazBhIVB\xKdWkBL.wsf^"" (sign: 'Microsoft')
Но без образа все это скучно смотреть.
Цитата
santy написал:
HJ можно списать после такого детекта:

Да... Но и так видно что к чему. :)
cyberforum.ru/viruses/thread3138827.html

Может и "дойдёт" до разработчиков...

O22 - Tasks: BNVT - C:\Users\Computer\AppData\Local\Programs\Python\Python36-32\pythonw.exe C:\Users\Computer\AppData\Local\KEIYY\WJKVQ.py YdzXkne (sign: 'Python Software Foundation')

Это как: Кто кинул кирпич ? Кирпич кинул приличный человек... А, тогда всё в порядке  ;)
Цитата
RP55 RP55 написал:
Это как: Кто кинул кирпич ? Кирпич кинул приличный человек... А, тогда всё в порядке  ;)
Да, примерно так :)
Пред. 1 ... 163 164 165 166 167
Читают тему