Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 5 6 7 8 9 ... 167 След.
судя по твоему скрину и общему размеру двух файлов - у тебя такой же. почему же они по разному работают?  :evil:
Правильно заданный вопрос - это уже половина ответа
и вот к вопросу о детектах других антивирусов
http://virusinfo.info/showthread.php?t=112712

Цитата

Касперский обнаружил заражение в папке Appdata - судя по всему, был основательно заражен Java. Антивирус все почистил, для пущей безопасности я удалил флэш и джаву.
Сегодня Касперский поймал в Appdata/Roaming Trojan-Ransom.Win32.Cidox.aex. Вполне возможно, его поймали без меня (компьютером пользуемся вдвоем с мамой), либо же это какой-то хвост от того трояна? Пока все вроде бы тихо, но я уже ни в чем не могу быть уверен.

Логи прилагаю. Сканирование AVZ проводил в сейф-мод, если это критично.
ответ хелперов
Цитата
В данном случае это как раз очень кстати.

В безопасном режиме выполните скрипт в AVZ:
Код:

begin
QuarantineFile('C:\Users\Romm-Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\igfxtray.exe','');
DeleteFile('C:\Users\Romm-Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\igfxtray.exe');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.
Изменено: santy - 21.11.2011 22:39:47
Цитата
Арвид пишет:
судя по твоему скрину и общему размеру двух файлов - у тебя такой же. почему же они по разному работают?  
да, такой же. из одного источника. 172 032. не знаю почему. Это как Zaccess всякий раз заражает разные известные системные драйвера.
---
и кстати, загрузка процессора была незначительная все время.
проверю еще раз, но уже завтра, как ESS 5 на VM с ним будет сражаться, если только за ночь файлик не попадет в базы ESET.
Изменено: santy - 21.11.2011 22:41:38
по ходу по таким же названием есть и другие зловреды
http://www.virustotal.com/file-scan/report.html?id=dc3d96005b02637c8e04fd8284cac78579c539edee75dc5cad821aa9f­6397a21-1321531714
у Каспера Карбер определяется как Trojan-Ransom.Win32.Cidox.aex?
Правильно заданный вопрос - это уже половина ответа
Цитата
santy пишет:
проверю еще раз, но уже завтра, как ESS 5 на VM с ним будет сражаться
ну сейчас он никак не сражается, так как базы пусты) хочешь запустить вирус при отключенной защите, а потом включить ее? вряд ли справится:)
Правильно заданный вопрос - это уже половина ответа
Роль wmiprvse.exe
Возможно он не только в рамках обращения к HDD используется.
Для чтения/перезаписи IPL
Речь может идти о уязвимости...
С вызовом ошибки приложения и выполнением кода.
Впрочем это уже другая епархия.  :(   :evil:  :)
Цитата
Арвид пишет:
Цитата
santy пишет:
проверю еще раз, но уже завтра, как ESS 5 на VM с ним будет сражаться
ну сейчас он никак не сражается, так как базы пусты) хочешь запустить вирус при отключенной защите, а потом включить ее? вряд ли справится
Про "сражаться" - добавил в шутку, конечно. :).
возможно поведение Carberp будет уже другое.
значит выходит, защита Есета обнаруживает в памяти процесс Carberp еще не имея сигнатуру этого файла.
Воявился интересный детект Win32/Carberp.A,

http://www.eset.eu/podpora/aktualizacia-6649?lng=en

Ха...

http://pchelpforum.ru/f26/t77566/

Будем смотреть что за гад.
Скорее всего это и есть детект в бутсекторе...

Да я был прав! Внесли как сигнатуру на загрузчик.
Еще бы клинер...

Помучаем вирлаб.

Пред. 1 ... 5 6 7 8 9 ... 167 След.
Читают тему