поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 34 35 36 37 38 ... 167 След.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 12.02.2012 17:27:43

Цитата
santy пишет: По моему это один и тот же образ.

Да.
Здесь его отшили - перешел на pchelpforum.
Посмотрим,что в версии 374 будет.
Если повториться...

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.02.2012 18:33:25

Цитата
RP55 RP55 пишет: Посмотрим,что в версии 374 будет. Если повториться...

если в 374 будет делать образ стартуя uVS из архива, то результат повторится.

Цитата
(!) БАЗА ИЗВЕСТНЫХ ФАЙЛОВ ОТСУТСТВУЕТ (!)

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 12.02.2012 18:55:56

Так как у RP55 RP55 нету доступа к Хелперскому разделу на соседнем форуме, то повторю пост тут:

Вчера на одном ресурсе был интересный случай, до сих пор не пойму как такое может быть.
Человек изначально обратился с просьбой помочь в удалении маячка - кидало его на internet.com
Выложил все логи. В логах был только маячок который успешно был удален. Затем попросил сделать лог Mbam. Получил его и увидел там такое:

Цитата
Обнаруженные процессы в памяти: 1 C:\Documents and Settings\Admin\Application Data\netprotocol.exe (Trojan.Agent.Gen) -> 2280 -> Удалить после перезагрузки системы. Обнаруженные параметры в реестре: 3 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\|Netprotocol (Trojan.Agent.Gen) -> Параметры: C:\Documents and Settings\Admin\Application Data\netprotocol.exe -> Помещено в карантин и успешно удалено. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\|Windows Debugger 32 (Backdoor.Agent) -> Параметры: C:\WINDOWS\system32\machineupdate32.exe -> Помещено в карантин и успешно удалено. HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\|SysDebug32 (Trojan.Agent) -> Параметры: …вNhCЃзA”…˜_†#ГGйжЭ8ќэт•єA9ЪN3ЪѓD^нќ?¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P;*зиљЁ„Ц±–]D\тзrА_ѕYЉPRўVфЂE3Ђ(д(¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P%rЅщsZЪDvЋізіL„¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;PЮв3ф–# -> Помещено в карантин и успешно удалено. Обнаруженные файлы: 6 C:\Documents and Settings\Admin\Application Data\word.exe (Trojan.Agent) -> Помещено в карантин и успешно удалено. C:\Documents and Settings\Admin\Application Data\netprotocol.exe (Trojan.Agent.Gen) -> Удалить после перезагрузки системы. C:\WINDOWS\system32\machineupdate32.exe (Backdoor.Agent) -> Удалить после перезагрузки системы.

Цитата

Обнаруженные процессы в памяти: 1
C:\Documents and Settings\Admin\Application Data\netprotocol.exe (Trojan.Agent.Gen) -> 2280 -> Удалить после перезагрузки системы.

Обнаруженные параметры в реестре: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Netprotocol (Trojan.Agent.Gen) -> Параметры: C:\Documents and Settings\Admin\Application Data\netprotocol.exe -> Помещено в карантин и успешно удалено.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Windows Debugger 32 (Backdoor.Agent) -> Параметры: C:\WINDOWS\system32\machineupdate32.exe -> Помещено в карантин и успешно удалено.
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: …вNhCЃзA”…˜_†#ГGйжЭ8ќэт•єA9ЪN3ЪѓD^нќ?¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P;*зиљЁ„Ц±–]D\тзrА_ѕYЉPRўVфЂE3Ђ(д(¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P%rЅщsZЪDvЋізіL„¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;PЮв3ф–# -> Помещено в карантин и успешно удалено.

Обнаруженные файлы: 6
C:\Documents and Settings\Admin\Application Data\word.exe (Trojan.Agent) -> Помещено в карантин и успешно удалено.
C:\Documents and Settings\Admin\Application Data\netprotocol.exe (Trojan.Agent.Gen) -> Удалить после перезагрузки системы.
C:\WINDOWS\system32\machineupdate32.exe (Backdoor.Agent) -> Удалить после перезагрузки системы.

Мне интересно как эти два зловреда не попали ни в лог AVZ, ни в uVS

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 12.02.2012 18:59:07

Цитата
santy пишет: по этой ссылке в краткой инструкции каталог 7zip добавлен в архив с uVS, и действие архиватора прописано в settings.

ну так может есть смысл поставить эту ссылку на первое место, а не после глюкавого сервера автора программы? тем более для него это лишняя нагрузка

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.02.2012 19:10:11

Цитата
Арвид пишет: Так как у RP55 RP55 нету доступа к Хелперскому разделу на соседнем форуме, то повторю пост тут:

а темы форума тоже недоступны? лучше уж ссылку на тему форума дать.
--------
по ссылке на uVS.
а куда кто торопится. недоступен по одной ссылке, скачать по другой. порядок такой. первые ссылки на первоисточник.

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 12.02.2012 19:13:20

Цитата
santy пишет: а темы форума тоже недоступны?

доступны - http://www.adminplanet.ru/t6075.html. просто не стал там постить ссылку

Цитата
santy пишет: недоступен по одной ссылке, скачать по другой. порядок такой. первые ссылки на первоисточник.

так суть в том, что хочется чтобы архиватор был изначально в пакете с программой, а на первоисточнике его нет

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.02.2012 19:38:38

Цитата
Арвид пишет: доступны - http://www.adminplanet.ru/t6075.html . просто не стал там постить ссылку ------- так суть в том, что хочется чтобы архиватор был изначально в пакете с программой, а на первоисточнике его нет

возможно позже цепанул, за следующие почти 20минут работы. Если бы он сразу выложил лог мбам, или даже ранее чем uVS или AVZ...
-----
исправил пока, дальше видно будет.

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 12.02.2012 23:52:54

Арвид
Спасибо за информацию !
-----------------------
Ещё - идея появилась.

В uVS есть функция передачи/проверки файлов на Jotti.
Сделать передачу доступной посредством скрипта !
Алгоритм: Пишем скрипт > Его выполняют и минут через 10-ть можно смотреть результат.
Можно проверить все подозрительные/неизвестные.
Быстро и с минимальной нагрузкой на пользователя.
Ему ненужно искать файл/ы и разбираться как работать с V.T; Jotti.
И самое главное - нет необходимости объяснять - что и как делать.
Достаточно выполнить скрипт...
+ Можно проверить сразу группу объектов.

Как мысль ?
Кстати говоря - идеи мои ещё не надоели ? :oops:

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.02.2012 12:14:22

Цитата
Арвид пишет: доступны - http://www.adminplanet.ru/t6075.html . просто не стал там постить ссылку

по админпланет: я бы все таки добавил в некоторых инструкциях, что при их подготовке использовался материал с pchelpforum.ru.

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 14.02.2012 16:43:12

Как мне представляется тему рано закрыли.
http://forum.esetnod32.ru/messages/forum6/topic4172/message33742/#message33742

Пред. 1 ... 34 35 36 37 38 ... 167 След.