Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 35 36 37 38 39 ... 167 След.
C:\WINDOWS\FRGOO.SYS
это? :)
Правильно заданный вопрос - это уже половина ответа
Цитата
Арвид пишет:
C:\WINDOWS\FRGOO.SYS
Это !
да, уж пора делать правило на сервис newdriver
Цитата
Антируткит Vba32Arkit успешно справляется с новой версией VBR-руткита семейства Mayachok
Обнаружился семпл, который неожиданно оказался реинкарнацией уже немного подзабытого VBR-руткита Trojan.Mayachok.2 (Rootkit.Boot.Cidox.b*). Подзабытого хотя бы на фоне развязавшегося мешка с «безруткитным» Trojan.Mayachok.1», – сообщил Михаил Касимов, независимый исследователь и активный бета-тестер продукта Vba32 AntiRootkit, на форуме Anti-Malware.
http://virusblokada.blog.tut.by/2012/02/14/novaya-modifikatsiya-trojan-mayachok/#more-287
Арвид, у тебя с маяками большой опыт - не встречаются еще в живой природе варианты VBR-руткита Trojan.Mayachok.2?
Изменено: santy - 14.02.2012 18:12:21
нет, не было такого, все прописываются где обычно.
ZloyDi поделился ссылкой новой на подобные сайты, где выкладывают эти маячки. помню в том месяце этот сайт видел, тогда дроперы были 70-80 кб, сейчас 100 и выше. буду качать, проверять
Правильно заданный вопрос - это уже половина ответа
Цитата
Арвид пишет:
дроперы были 70-80 кб

По той ссылке что я тебе дал, размер и упаковщик файла меняется 4-5 раз на день  ;)

Возможно, это тот же Carberp с функционалом буткита (Carberp.A), + добавлена защита от перезаписи VBR из активной системы.
хм,
Цитата
подтверждаю, что в новом варианте Rootkit.Cidox.B есть защита от перезаписи в VBR из активной системы.

23:17:09.0734 0140 TDSS rootkit removing tool 2.7.12.0 Feb 11 2012 16:58:52
23:17:11.0749 0140 ============================================================­
23:17:11.0749 0140 Current date / time: 2012/02/14 23:17:11.0749
23:17:11.0749 0140 SystemInfo:
23:17:11.0749 0140
23:17:11.0749 0140 OS Version: 5.1.2600 ServicePack: 3.0
23:17:11.0749 0140 Product type: Workstation
23:17:11.0749 0140 ComputerName: VM-XP
23:17:11.0749 0140 UserName: safety
23:17:46.0702 1284 ============================================================­
23:17:46.0702 1284 Scan finished
23:17:46.0702 1284 ============================================================­
23:17:46.0718 1584 Detected object count: 2
23:17:46.0718 1584 Actual detected object count: 2
23:18:35.0405 1584 \Device\Harddisk0\DR0\# - copied to quarantine
23:18:35.0405 1584 \Device\Harddisk0\DR0 - copied to quarantine
23:18:35.0405 1584 \Device\Harddisk0\DR0 ( Rootkit.Win32.BackBoot.gen ) - User select action: Quarantine
23:18:35.0421 1584 \Device\Harddisk0\DR0\Partition0 - copied to quarantine
23:18:35.0421 1584 \Device\Harddisk0\DR0\Partition0 ( Rootkit.Boot.Cidox.b ) - User select action: Quarantine
23:19:03.0140 1008 Deinitialize success

по логу uVS

Цитата
IPL NTFS [C:]
Дата: 2012-02-14 [2012-02-14 16:30:00 UTC ( 52 minutes ago )]
Имя: vbr_infected.bin
BOO/Cidox.A [AntiVir]
Детектов: 1 из 8
--------------------------------------------------------
Запись загрузчика в VBR:
C:
Ошибка записи [Запрос не был выполнен из-за ошибки ввода/вывода на устройстве. ]
лог сканирования ESET Endpoint Security Suite при зараженном VBR (IPL)
Цитата
Scan Log
Version of virus signature database: 6883 (20120214)
Date: 14.02.2012  Time: 23:45:35
Scanned disks, folders and files: Operating memory;C:\Boot sector
Number of scanned objects: 332
Number of threats found: 0
Time of completion: 23:45:46  Total scanning time: 11 sec (00:00:11)

то о чем пишет VBA32 (по отчету VBA32arkit_beta)
Цитата
\Driver\atapi IRP_MJ_INTERNAL_DEVICE_CONTROL 0x8080377E C:\WINDOWS\system32\ntkrnlpa.exe Signed Anomaly detected
Изменено: santy - 14.02.2012 22:14:18
Фигово что не видит, не говорю уже про лечение... Нод вроде никогда и не мог загрузчики самостоятельно лечиться. Фиговато
Кстати, в EESS столько багов уже нашел. В русскую тех поддержку можно о них отписываться или без толку?
Правильно заданный вопрос - это уже половина ответа
Пред. 1 ... 35 36 37 38 39 ... 167 След.
Читают тему