Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 34 35 36 37 38 ... 167 След.
Цитата
santy пишет:
По моему это один и тот же образ.
Да.
Здесь его отшили - перешел на pchelpforum.
Посмотрим,что в версии 374 будет.
Если повториться...
Цитата
RP55 RP55 пишет:
Посмотрим,что в версии 374 будет.
Если повториться...
если в 374 будет делать образ стартуя uVS из архива, то результат повторится.
Цитата
(!) БАЗА ИЗВЕСТНЫХ ФАЙЛОВ ОТСУТСТВУЕТ (!)
Так как у RP55 RP55 нету доступа к Хелперскому разделу на соседнем форуме, то повторю пост тут:

Вчера на одном ресурсе был интересный случай, до сих пор не пойму как такое может быть.
Человек изначально обратился с просьбой помочь в удалении маячка - кидало его на internet.com
Выложил все логи. В логах был только маячок который успешно был удален. Затем попросил сделать лог Mbam. Получил его и увидел там такое:
Цитата
Обнаруженные процессы в памяти: 1
C:\Documents and Settings\Admin\Application Data\netprotocol.exe (Trojan.Agent.Gen) -> 2280 -> Удалить после перезагрузки системы.

Обнаруженные параметры в реестре: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Netprotocol (Trojan.Agent.Gen) -> Параметры: C:\Documents and Settings\Admin\Application Data\netprotocol.exe -> Помещено в карантин и успешно удалено.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Expl­orer\Run|Windows Debugger 32 (Backdoor.Agent) -> Параметры: C:\WINDOWS\system32\machineupdate32.exe -> Помещено в карантин и успешно удалено.
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: …вNhCЃзA”…˜_†#ГGйжЭ8ќэт•єA9ЪN3ЪѓD^нќ?¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P;*зиљЁ„Ц±–]D\тзrА_ѕYЉPRўVфЂE3Ђ(д(¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P%rЅщsZЪDvЋізіL„¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;PЮв3ф–# -> Помещено в карантин и успешно удалено.


Обнаруженные файлы: 6
C:\Documents and Settings\Admin\Application Data\word.exe (Trojan.Agent) -> Помещено в карантин и успешно удалено.
C:\Documents and Settings\Admin\Application Data\netprotocol.exe (Trojan.Agent.Gen) -> Удалить после перезагрузки системы.
C:\WINDOWS\system32\machineupdate32.exe (Backdoor.Agent) -> Удалить после перезагрузки системы.
Мне интересно как эти два зловреда не попали ни в лог AVZ, ни в uVS
Правильно заданный вопрос - это уже половина ответа
Цитата
santy пишет:
по этой ссылке в краткой инструкции
каталог 7zip добавлен в архив с uVS, и действие архиватора прописано в settings.
ну так может есть смысл поставить эту ссылку на первое место, а не после глюкавого сервера автора программы? тем более для него это лишняя нагрузка :)
Правильно заданный вопрос - это уже половина ответа
Цитата
Арвид пишет:
Так как у  RP55 RP55  нету доступа к Хелперскому разделу на соседнем форуме, то повторю пост тут:
а темы форума тоже недоступны? лучше уж ссылку на тему форума дать.
--------
по ссылке на uVS.
а куда кто торопится. недоступен по одной ссылке, скачать по другой. порядок такой. первые ссылки на первоисточник.
Цитата
santy пишет:
а темы форума тоже недоступны?
доступны - http://www.adminplanet.ru/t6075.html. просто не стал там постить ссылку
Цитата
santy пишет:
недоступен по одной ссылке, скачать по другой. порядок такой. первые ссылки на первоисточник.
так суть в том, что хочется чтобы архиватор был изначально в пакете с программой, а на первоисточнике его нет
Правильно заданный вопрос - это уже половина ответа
Цитата
Арвид пишет:
доступны -  http://www.adminplanet.ru/t6075.html . просто не стал там постить ссылку
-------
так суть в том, что хочется чтобы архиватор был изначально в пакете с программой, а на первоисточнике его нет
возможно позже цепанул, за следующие почти 20минут работы. Если бы он сразу выложил лог мбам, или даже ранее чем uVS или AVZ...
-----
исправил пока, дальше видно будет.
Арвид
Спасибо за информацию !
-----------------------
Ещё - идея появилась.

В uVS есть функция передачи/проверки файлов на Jotti.
Сделать передачу доступной посредством скрипта !
Алгоритм: Пишем скрипт > Его выполняют и минут через 10-ть можно смотреть результат.
Можно проверить все подозрительные/неизвестные.
Быстро и с минимальной нагрузкой на пользователя.
Ему ненужно искать файл/ы и разбираться как работать с V.T; Jotti.
И самое главное - нет необходимости объяснять - что и как делать.
Достаточно выполнить скрипт...
+ Можно проверить сразу группу объектов.

Как мысль ?
Кстати говоря - идеи мои ещё не надоели ?  :oops:   :)
Цитата
Арвид пишет:
доступны -  http://www.adminplanet.ru/t6075.html . просто не стал там постить ссылку
по админпланет: я бы все таки добавил в некоторых инструкциях, что при их подготовке использовался материал с pchelpforum.ru.
Как мне представляется тему рано закрыли.
http://forum.esetnod32.ru/messages/forum6/topic4172/message33742/#message33742
Пред. 1 ... 34 35 36 37 38 ... 167 След.
Читают тему