поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 6 7 8 9 10 ... 167 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 22.11.2011 06:18:31

Цитата
zloyDi пишет: Ха... http://pchelpforum.ru/f26/t77566/ Будем смотреть что за гад. Скорее всего это и есть детект в бутсекторе...

прогресс с двух сторон: ЕСЕТ выделил бутовую модификацию, Carberp не блокирует обновления антивира.
Carberp с обидой: потеснился в бутсектор и обновлениям антивируса не мешаю, а все норовят клинером проехаться.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 22.11.2011 06:25:44

кстати, еще одна вчерашняя примета, когда Carberp "переселяется" в бутсектор.
На диске, в корне появляются свежие папки, типа

Цитата
На Диске "С" появилась папка dN7HWwdAVcGfCf5

http://virusinfo.info/showthread.php?t=112766
и здесь
http://virusinfo.info/showthread.php?t=112712
и похоже здесь
http://virusinfo.info/showthread.php?t=112756

Изменено: santy - 22.11.2011 06:32:34

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 22.11.2011 06:51:09

вот еще тема,
http://pchelpforum.ru/f26/t77571/
когда Carberp мутировал в бутовый сектор, хотя МБАМ вроде как его удалил из папки автозапуска

Цитата
c:\documents and settings\local\главное меню\программы\автозагрузка\igfxtray.exe (Trojan.Agent) -> Quarantined and deleted successfully. c:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Quarantined and deleted successfully.

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.11.2011 13:10:10

ну удалить можно и самому если повезет - файл то в этот момент должен там находиться

или немного автоматизировать и сделать такой батник для удаления:

Код
taskkill /f /im IGFXTRAY.exe attrib "%userprofile%\ѓ« ў®Ґ ¬Ґо\Џа®Ја ¬¬л\Ђўв®§ Јаг§Є \.exe" -r -s -h attrib "%userprofile%\start menu\programs\startup\.exe" -r -s -h del "%userprofile%\ѓ« ў®Ґ ¬Ґо\Џа®Ја ¬¬л\Ђўв®§ Јаг§Є \.exe" /f /q del "%userprofile%\start menu\programs\startup\.exe" /f /q

Код

taskkill /f /im IGFXTRAY.exe
attrib "%userprofile%\ѓ« ў®Ґ ¬Ґо\Џа®Ја ¬¬л\Ђўв®§ Јаг§Є \*.exe" -r -s -h
attrib "%userprofile%\start menu\programs\startup\*.exe" -r -s -h
del "%userprofile%\ѓ« ў®Ґ ¬Ґо\Џа®Ја ¬¬л\Ђўв®§ Јаг§Є \*.exe" /f /q
del "%userprofile%\start menu\programs\startup\*.exe" /f /q

правда в памяти он никогда и не числился, всегда в svchost внедряется

Изменено: Арвид - 22.11.2011 13:10:42

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.11.2011 17:34:28

создал батничек для борьбы с Carberp (для того что в автозагрузке сидит. загрузочный не так просто побеждается). проверил. работает:)

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 22.11.2011 17:43:13

и как работает? без необходимости запуска uVS?
-------
тот что вверху - малочитабельный.

Изменено: santy - 22.11.2011 17:45:20

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.11.2011 17:44:17

да, без него. только 1 бат файл. сейчас напишу

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 22.11.2011 17:45:47

только добавь его как вложение.

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.11.2011 17:52:39

1. создает папку AutoStart в корне системного диска
2. экспортирует в файл ветку реестра, которая отвечает за переменные пользователя
3. изменяет путь к папке Автозагрука пользователя на C:\AutoStart (или на другую системную букву диска)
4. создает новый бат файл с новыми командами
5. перезагружает компьютер через 5 секунд
6. после перезагрузки стартует новый бат файл
7. снимаются атрибуты со всех ехе файлов в папке пользователя\Автозагрузка
8. удаляет эти файлы
9. импортирует в реестр ветку которую батник экспортировал в корень диска в начале
10. удаляет бекап ветки реестра, новый батник и перезагружает компьютер
после перезагрузки все чисто. на Висте или Семерке запускать от имени Администратора.
если что, можно добавить нужный функционал - типа архивирование зловреда в какую нибудь папку, а потом его удаление
http://rghost.ru/31551491

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.11.2011 17:53:49

надо только запустить бат файл и подождать две перезагрузки. делать ничего не надо
если вирус находится только в папке Автозагрузка, то поможет. если в загрузчике, то нет.

Правильно заданный вопрос - это уже половина ответа

Пред. 1 ... 6 7 8 9 10 ... 167 След.