поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 31 32 33 34 35 ... 167 След.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 10.02.2012 22:22:35

Цитата
santy пишет: Закрывать тему и отправлять с официального форума. На любой другой.

Ссылку на pchelpforum.ru можно давать или это лишнее ?

Цитата
santy пишет: (и не выдумывать причин - мы вам образцы угроз - вы нам возможность нарушать лицензионное соглашение.)

Так я и спросил, для того, чтобы чётко обозначить позицию.

Сообщений: 17972

Баллов: 28754

Регистрация: 16.03.2010

Размещено 10.02.2012 22:37:37

Цитата
RP55 RP55 пишет: Ссылку на pchelpforum.ru можно давать или это лишнее ?

В личку - пожалуйста, если вы поддерживаете контакт с ТС.

Изменено: santy - 10.02.2012 22:38:31

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 10.02.2012 22:49:14

Цитата
santy пишет: В личку - пожалуйста, если вы поддерживаете контакт с ТС.

Ясно.
Вот, теперь кристально всё ясно.
Значит посылать - но культурно,без грубостей и с уважением.

Сообщений: 17972

Баллов: 28754

Регистрация: 16.03.2010

Размещено 10.02.2012 22:56:36

как получится,
я обычно подробнее все объясняю, если человек обратится в личку за разъяснением.

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 10.02.2012 23:37:38

Как думаете, эти 2 экземпляра - Carberp или нет?

Цитата
Полное имя C:\DOCUMENTS AND SETTINGS\АНЯ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\EADH2HUYL3A.EXE Имя файла EADH2HUYL3A.EXE Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске www.virustotal.com Хэш НЕ найден на сервере. Удовлетворяет критериям АВТОЗАГРУЗКА ПОЛНОЕ ИМЯ: C:\DOCUMENTS AND SETTINGS\АНЯ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\EADH2HUYL3A.EXE Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Размер 338248 байт Создан 15.04.2008 в 17:00:00 Изменен 15.04.2008 в 17:00:00 Атрибуты СИСТЕМНЫЙ R/O Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Оригинальное имя Проект1.exe Версия файла 1.00 Описание Player Here Now. The application is a new toy for NVIDIA fans everywhere, this custom skin ... Продукт New for 2011!Our media reactors now feature convenient threaded lids for easy fitting replacement or arrangement. Each reactor comes standardcontrol systems. The functions in this toolbox implement classical and Copyright Get official avast! logos and other promotion materials. Производитель 20 Nov 2009 ... As such, the media from the two states will be there in force to cover the game. And sitting beside them in the press box will be credentialed ... Комментарий IEEE Xplore - Control Systems Magazine, IEEE ieeexplore.ieee.org › Browse › Avast Marine Works DIY Media Reactor. Starting at: $54.99. Add to Cart. Add to Wishlist; \| Add to Compare · Avast Marine Automatic Zeolith Reactor. video Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Атрибут файла "Скрытый" или "Системный" [типично для вирусов] Доп. информация на момент обновления списка SHA1 C2B45F7CB9D4FBE86BC1392E8ED9703F13CCB10E MD5 5347F82CC987B1798D67A0214F3DD3B3 Ссылки на объект Ссылка C:\DOCUMENTS AND SETTINGS\АНЯ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА

Цитата

Полное имя C:\DOCUMENTS AND SETTINGS\АНЯ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\EADH2HUYL3A.EXE
Имя файла EADH2HUYL3A.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

www.virustotal.com Хэш НЕ найден на сервере.

Удовлетворяет критериям
АВТОЗАГРУЗКА ПОЛНОЕ ИМЯ: C:\DOCUMENTS AND SETTINGS\АНЯ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\EADH2HUYL3A.EXE

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 338248 байт
Создан 15.04.2008 в 17:00:00
Изменен 15.04.2008 в 17:00:00
Атрибуты СИСТЕМНЫЙ R/O
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя Проект1.exe
Версия файла 1.00
Описание Player Here Now. The application is a new toy for NVIDIA fans everywhere, this custom skin ...
Продукт New for 2011!Our media reactors now feature convenient threaded lids for easy fitting replacement or arrangement. Each reactor comes standardcontrol systems. The functions in this toolbox implement classical and
Copyright Get official avast! logos and other promotion materials.
Производитель 20 Nov 2009 ... As such, the media from the two states will be there in force to cover the game. And sitting beside them in the press box will be credentialed ...
Комментарий IEEE Xplore - Control Systems Magazine, IEEE ieeexplore.ieee.org › Browse › Avast Marine Works DIY Media Reactor. Starting at: $54.99. Add to Cart. Add to Wishlist; | Add to Compare · Avast Marine Automatic Zeolith Reactor. video

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла "Скрытый" или "Системный" [типично для вирусов]

Доп. информация на момент обновления списка
SHA1 C2B45F7CB9D4FBE86BC1392E8ED9703F13CCB10E
MD5 5347F82CC987B1798D67A0214F3DD3B3

Ссылки на объект
Ссылка C:\DOCUMENTS AND SETTINGS\АНЯ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА

Цитата
Полное имя C:\DOCUMENTS AND SETTINGS\ALL USERS\LOCAL SETTINGS\TEMP\MSDUBMNAX.CMD Имя файла MSDUBMNAX.CMD Тек. статус ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске www.virustotal.com Хэш НЕ найден на сервере. Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Размер 80712 байт Создан 27.04.2010 в 12:00:15 Изменен 26.12.2009 в 13:03:59 Атрибуты СКРЫТЫЙ СИСТЕМНЫЙ Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Оригинальное имя Проект1.exe Версия файла 1.00 Описание Player Here Now. The application is a new toy for NVIDIA fans everywhere, this custom skin ... Продукт New for 2011!Our media reactors now feature convenient threaded lids for easy fitting replacement or arrangement. Each reactor comes standardcontrol systems. The functions in this toolbox implement classical and Copyright Get official avast! logos and other promotion materials. Производитель 20 Nov 2009 ... As such, the media from the two states will be there in force to cover the game. And sitting beside them in the press box will be credentialed ... Комментарий IEEE Xplore - Control Systems Magazine, IEEE ieeexplore.ieee.org › Browse › Avast Marine Works DIY Media Reactor. Starting at: $54.99. Add to Cart. Add to Wishlist; \| Add to Compare · Avast Marine Automatic Zeolith Reactor. video Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Атрибут файла "Скрытый" или "Системный" [типично для вирусов] Путь до файла Типичен для вирусов и троянов Доп. информация на момент обновления списка SHA1 915BD345761FAA5792EF1DB1EB271B58B8A87190 MD5 65C978E39DDB3B7CBDF323B68FD7183F Ссылки на объект Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\64482 64482 C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmnax.cmd

Цитата

Полное имя C:\DOCUMENTS AND SETTINGS\ALL USERS\LOCAL SETTINGS\TEMP\MSDUBMNAX.CMD
Имя файла MSDUBMNAX.CMD
Тек. статус ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

www.virustotal.com Хэш НЕ найден на сервере.

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 80712 байт
Создан 27.04.2010 в 12:00:15
Изменен 26.12.2009 в 13:03:59
Атрибуты СКРЫТЫЙ СИСТЕМНЫЙ
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя Проект1.exe
Версия файла 1.00
Описание Player Here Now. The application is a new toy for NVIDIA fans everywhere, this custom skin ...
Продукт New for 2011!Our media reactors now feature convenient threaded lids for easy fitting replacement or arrangement. Each reactor comes standardcontrol systems. The functions in this toolbox implement classical and
Copyright Get official avast! logos and other promotion materials.
Производитель 20 Nov 2009 ... As such, the media from the two states will be there in force to cover the game. And sitting beside them in the press box will be credentialed ...
Комментарий IEEE Xplore - Control Systems Magazine, IEEE ieeexplore.ieee.org › Browse › Avast Marine Works DIY Media Reactor. Starting at: $54.99. Add to Cart. Add to Wishlist; | Add to Compare · Avast Marine Automatic Zeolith Reactor. video

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла "Скрытый" или "Системный" [типично для вирусов]
Путь до файла Типичен для вирусов и троянов

Доп. информация на момент обновления списка
SHA1 915BD345761FAA5792EF1DB1EB271B58B8A87190
MD5 65C978E39DDB3B7CBDF323B68FD7183F

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\64482
64482 C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmnax.cmd

http://pchelpforum.ru/f26/t87170/

Изменено: Арвид - 10.02.2012 23:37:55

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 11.02.2012 14:37:25

Цитата
Арвид пишет: Как думаете, эти 2 экземпляра - Carberp или нет?

Это риторический вопрос...
Постоянно новую фигню придумывают !
Интересный момент:

Цитата
Оригинальное имя Проект1.exe

Да и с описанием они перемудрили !
Где такие рекламные проспекты в десятки слов можно увидеть.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 11.02.2012 20:50:35

До меня блин дошло почему у некоторых папка ZOO не архивируется

Архиватор у них не стоит
Может стоит у нас в инструкции выложить ссылку на uVS с архиватором? Никто не против?

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 11.02.2012 23:02:11

Цитата
Арвид пишет: Никто не против?

Видимо - молчание, знак согласия.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 11.02.2012 23:25:41

По uVS
Предложение: "Копировать все исполняемые файлы каталога в Zoo"
*Применительно к работе со скриптами.
Будет возможность запаковать все файлы каталога в Zoo/архив.
**Команда доступна из контекстного меню файла.
***Команда активна - только при работе с образом!
Пример:

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delall %SystemRoot%\APPPATCH\RAL.exe
adddir_zoo %SystemRoot%\APPPATCH\
deltmp
delnfr
czoo
restart

На выходе - все образцы файлов будут в архиве.
Получив архив и зная имя и сигнатуру - можно, уже на этом этапе составить скрипт для зачистки.
И отправить файлы в вир.лаб...

Вторая часть предложения была излишней/перегруженной... ( убрал )
-----------------------------------------
Какие будут мысли ?

Изменено: RP55 RP55 - 11.02.2012 23:47:27

Сообщений: 17972

Баллов: 28754

Регистрация: 16.03.2010

Размещено 12.02.2012 09:36:07

Цитата
Арвид пишет: Может стоит у нас в инструкции выложить ссылку на uVS с архиватором? Никто не против?

по этой ссылке в краткой инструкции
каталог 7zip добавлен в архив с uVS, и действие архиватора прописано в settings.

[ Как создать образ автозапуска? ]

Пред. 1 ... 31 32 33 34 35 ... 167 След.