поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 23 24 25 26 27 ... 167 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.01.2012 17:05:26

Цитата
EVE N пишет: Вот ещё к сведенью. http://amatrosov.blogspot.com/2012/01/carberp-facebook-ddosplug.html

Интересно.
может, Aleks Matrosov еще и разбор вариантов Corkow сделает? не все варианты пока попадают в образ автозапуска.

Изменено: santy - 28.01.2012 17:05:47

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 29.01.2012 15:12:52

3.73.2

Цитата
тестируем, пофиксены проблемы с пропуском автозапуска и неправильной очистки реестра от ссылок на троян Corkow в Win7.

http://www.anti-malware.ru/forum/index.php?showtopic=19126&view=findpost&p=149491

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 29.01.2012 15:13:56

о, классно

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 29.01.2012 15:24:54

Цитата
santy пишет: чистка реестра от ссылок на троян Corkow в Win7.

3.73.2
---------------------------------------------------------
o В список для проверки добавлен 1 ключ реестра.

o Исправлена ошибка в функции удаления ссылок.

Это надо так понимать, это те ссылки что были в Cork.bat
И теперь они будут автоматом сохраняться или как ?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 29.01.2012 16:08:56

Цитата
RP55 RP55 пишет: 3.73.2 --------------------------------------------------------- o В список для проверки добавлен 1 ключ реестра. o Исправлена ошибка в функции удаления ссылок. Это надо так понимать, это те ссылки что были в Cork.bat И теперь они будут автоматом сохраняться или как ?

Цитата

RP55 RP55 пишет:
3.73.2
---------------------------------------------------------
o В список для проверки добавлен 1 ключ реестра.
o Исправлена ошибка в функции удаления ссылок.
Это надо так понимать, это те ссылки что были в Cork.bat
И теперь они будут автоматом сохраняться или как ?

ошибка здесь в том, что при очистке параметра Systray в ShellServiceObjectDelayLoad пропадают иконки сети в трее,
т.е. неправильно полностью очищать параметр Systray, а зачистить надо только определение модуля в CLSID.

посмотрим, что попадет в образ при лечение новых тем с Corkow на Win7. Установщика нужного пока нет. Хорошо бы, если бы Центр Аналитики ESET обращал внимание почаще на наши проблемы. Но пока контакта нет.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 29.01.2012 17:07:28

Странное дело. Spy.SpyEye.CA не всегда, или часто не попадает в образ автозапуска.
Здесь
http://forum.esetnod32.ru/forum6/topic3840/
uVS его "прочитал". В общем случае, достается специализированной утилитой.

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 31.01.2012 01:50:19

А что по этому файлу ?

MBX@758@3F3238.###

http://forum.esetnod32.ru/forum6/topic3867/

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 31.01.2012 05:49:03

Цитата
RP55 RP55 пишет: MBX@758@3F3238

Цитата
RP55 RP55 пишет: А что по этому файлу ? MBX@758@3F3238.### http://forum.esetnod32.ru/forum6/topic3867/

А что ты имеешь ввиду по этому файлу?
Я не в курсе, RP55, что это за файл.

Изменено: santy - 31.01.2012 08:39:07

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 31.01.2012 10:21:05

Здесь кстати интересное интервью А.Матросова о работе Центра аналитики и исследований журналу хакер.ру
http://issuu.com/xakep_magazine/docs/alexandr_matrosov_interview_xakep

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 31.01.2012 15:18:38

У меня появилась идея по поводу быстрого написания/создания скрипта и комментариев к нему - по шаблону.
Прошу всех желающих: zloyDi; santy; Арвида

Прикрепить папку: \uvs_v373\ Script к сообщению в данной теме - хочу сравнить параметры/подход/методику/структуру - генерации.
* Надеюсь, что то не секретная информация ?

------------------------------------------------

Что касается файла: MBX@758@3F3238.###
1) файл исполняемый - где расширение .### - активный,с возможностью расчёта сигнатуры.
= Синтаксическая ошибка.
Или ошибка при работе uVS ( нужно устранять ? )
+ Мягко говоря Подозрительное имя файла.
Дата создания - 31.01.2012
Статус - АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ DLL
Путь: DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\.#
Не удалось найти информацию по файлу.
+ Атрибут - СКРЫТЫЙ
А файл, Мы - видимо не увидим ! :cry:

Пред. 1 ... 23 24 25 26 27 ... 167 След.