Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

поговорить о uVS, Carberp, планете Земля

RSS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.11.2011 19:06:42
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 55 56 57 58 59 ... 167 След.
 
marshal64
marshal64
Пользователь
Сообщений: 1023
Баллов: 818
Регистрация: 16.03.2010
Размещено 29.03.2012 23:35:07
Цитата
Арвид пишет:
Страшный фейл.
Ну, ХИПС - относительно новая технология в ноде, так что, по крайней мере, можно понять.
В помощь к нему можно поставить Anvir Task Manager или WinPatrol.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 05.04.2012 14:24:36
Интересно
http://forum.esetnod32.ru/messages/forum6/topic5069/message39678/#message39678

Файл никто не ловит ... пока не ловит ...
https://www.virustotal.com/file/0ba7f4216005b0bd4cc28ba7b36bf287f1e6fefa49caccde46e­795c3980fb30e/analysis/1333620997/

Каким макаром нод нашел его в памяти не понятно...
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 08.04.2012 00:50:31
Собирают...
sp.jpg (80.73 КБ)
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 08.04.2012 00:51:54
Да, мне на 3 почтовых ящика пришло это. Ответил один раз что все просто прекрасно :D
Правильно заданный вопрос - это уже половина ответа
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 08.04.2012 00:53:07
Цитата
Арвид пишет:
Ответил один раз что все просто прекрасно
:D
Какое совпадение !  :o
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 08.04.2012 10:33:00
а 100грамм фронтовых еще никому в почту не приходило? :).
[ Как создать образ автозапуска? ]
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 08.04.2012 13:50:26
Цитата
santy пишет:
не приходило?

Пока сам в магазин не сходишь не придет  :D
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 08.04.2012 15:39:35
У народа плохо с вниманием - Устал народ от рекламы.  :(
И не читают, что нужно лог Malwarebytes делать. :o
Можно попробовать его -( Внимание ) привлечь.  ;)
------------------------------------------------------------
Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
Код
 
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

deltmp
delnfr
restart

ВНИМАНИЕ : По окончанию выполнения скрипта компьютер  выполнит перезагрузку !
-------------
Архив из папки uVS (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: 2010-10-04_13-30-55.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
+
Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.
Malwarebytes !.jpg (17.87 КБ)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 08.04.2012 16:05:49
слишком длинные подвалы - не у всех видимо хватает терпения дочитать подвал до конца
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 08.04.2012 17:59:12
вот кстати, тишь и гладь: установлен Trend Micro.
http://pchelpforum.ru/f26/t93506/
при том, что в памяти SpyEye.
Цитата
Полное имя                  C:\G4FWEQ23.BI\40842F38ABC.EXE
Имя файла                   40842F38ABC.EXE
Тек. статус                 ВИРУС в автозапуске
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-2666932526-2928173429-2540316539-1000\Software\Microsoft\Windows\CurrentVersion\Run\ZD6J0B3C8­F2YZG0DPMIHPGFWJ
ZD6J0B3C8F2YZG0DPMIHPGFWJ   C:\g4fweq23.Bi\40842F38ABC.exe /q
                           
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 55 56 57 58 59 ... 167 След.
Читают тему