поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 41 42 43 44 45 ... 167 След.

Сообщений: 17972

Баллов: 28754

Регистрация: 16.03.2010

Размещено 24.02.2012 11:04:25

пофиксится. это другая разновидность. скорее всего "обычный" бутовый Cidox.A
тем более в комплекте обычный маячок.

Цитата
Полное имя IPL NTFS [C:] Имя файла IPL NTFS [C:] Тек. статус ?ВИРУС? ВИРУС загрузчик www.virustotal.com 2011-12-15 [2011-12-15 10:55:48 UTC ( 2 months, 1 week ago )] AntiVir BOO/Cidox.A

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 25.02.2012 19:20:54

Сегодня делал чистку у себя. Думал думал что делать со всеми логами и снес их все - более 1500 штук

Изменено: Арвид - 25.02.2012 19:21:02

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 25.02.2012 22:59:37

Как думаете, почему uVS тут не справлялся?
http://pchelpforum.ru/f26/t88910/

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 26.02.2012 14:43:25

Цитата
Арвид пишет: почему

Видел вчера,эту тему.
Интересный случай.

Сообщений: 17972

Баллов: 28754

Регистрация: 16.03.2010

Размещено 26.02.2012 14:44:39

пока недоступна.
----------
надо было проверить удаление в безопасном режиме.

Изменено: santy - 26.02.2012 19:33:10

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 27.02.2012

Размещено 27.02.2012 21:08:28

Здравствуйте,
я так понял, что для удаления explorer в оперативной памяти, а точнее igfxtray.dat и wpbt0.dll, нужно выполнить какой то скрипт.Он индивидуален для каждого? всмысле, мне нужно выложить свои логи?

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 27.02.2012 21:20:37

да, скрипты индивидуальны. делайте для начала лог uVS и создайте новую тему

Правильно заданный вопрос - это уже половина ответа

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 27.02.2012 22:17:36

Интересная статейка
http://onthar.in/articles/icq-spam-carberp-i-blackhole/#more-1531

Сообщений: 17972

Баллов: 28754

Регистрация: 16.03.2010

Размещено 28.02.2012 05:52:49

Арвид, желательно запросить_запрашивать лог выполнения скрипта, чтобы убедиться помогает скрипт с fixvbr против Rootkit.MBR.Mayachok.B или нет.
http://forum.esetnod32.ru/forum6/topic4439/

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 28.02.2012 05:54:34

ну думаю если бы не перезаписал удачно, то хэш загрузчика не изменился бы и по базе проверенных не прошел бы и jotti все также ругался

Правильно заданный вопрос - это уже половина ответа

Пред. 1 ... 41 42 43 44 45 ... 167 След.