поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 82 83 84 85 86 ... 150 След.
D:\WINDOWS\ЕXPLORER.EXE
D:\WINDOWS\EXPLORER.EXE
http://forum.esetnod32.ru/forum27/topic7477/
Это, что ?
Изменено: RP55 RP55 - 02.11.2012 14:14:47
Хрень какая-то. Сразу и не заметил.
Цитата
Типичное для вирусов или содержит Non-ASCII символы
Изменено: Арвид - 02.11.2012 14:22:51
Правильно заданный вопрос - это уже половина ответа
добавил правило:
(ССЫЛКА ~ RUN\ЕXPLORER)(1) AND (ЕXPLORER ~ ЕXPLORER.EXE)(1)
-------------
Цитата
Полное имя D:\WINDOWS\ЕXPLORER.EXE
Имя файла ЕXPLORER.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

www.virustotal.com 2012-11-01 [2012-11-01 17:50:56 UTC ( 1 day, 18 hours ago )]
BitDefender Gen:Variant.Symmi.3544
AntiVir TR/Rogue.KD.399878

Удовлетворяет критериям
TR/ROGUE.KD.399878 (ССЫЛКА ~ RUN\ЕXPLORER)(1) AND (ЕXPLORER ~ ЕXPLORER.EXE)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 100890 байт
Создан 28.10.2012 в 09:56:55
Изменен 28.10.2012 в 09:56:55
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя HASA.exe
Версия файла 2323.4444.1111
Продукт :)
Производитель PEAR

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Имя файла Типичное для вирусов или содержит Non-ASCII символы

Доп. информация на момент обновления списка
SHA1 765DB936A91D69B69E2BF64B0848CFE02BBF6896
MD5 844EC64D9B37FC477D3BA095EC1E33E6

Ссылки на объект
Ссылка HKLM\uvs_software\Microsoft\Windows\CurrentVersion\Run\еxplo­rer
еxplorer C:\Windows\еxplorer.exe
второй случай
http://forum.esetnod32.ru/forum27/topic7491/
Изменено: santy - 03.11.2012 16:22:46
Santy зацени лог UVS с диска и с системы
http://forum.esetnod32.ru/forum27/topic7491/
ЕXPLORER.EXE  с диска галимый, с системы уже нормальный.
Цитата
zloyDi пишет:
Santy зацени лог UVS с диска и с системы
http://forum.esetnod32.ru/forum27/topic7491/
ЕXPLORER.EXE  с диска галимый, с системы уже нормальный.
смотрел тему. похоже в трояне буква "P" не латинского происхождения. подменен символ. т.е. в образе два файла explorer:
этот троянский, и системный чистый.
Возможно вот это дропает
UPDATE_PACKET.EXE - Win32/Dulkit.C trojan
Цитата
zloyDi пишет:
Возможно вот это дропает
UPDATE_PACKET.EXE - Win32/Dulkit.C trojan
ZloyDi, сделай проверку здесь, если сэмпл не убил еще
http://camas.comodo.com/
посмотрим анализ. можно и для левого эксплорера тоже трейс сделать.
Изменено: santy - 03.11.2012 16:55:45
http://camas.comodo.com/cgi-bin/submit?file=ad625e3fac4ca5c51269407881e8ad67e5c4e0baf3ad856ffd1c985­fd1d130c6
Теперь о планете Земля. :)

Уважаемые знатоки, подскажите пож., удалятся ли файлы карантина антивируса 4 версии при удалении антивируса через ESET Uninstaller ?
Спасибо.
похоже, данные отслеживает какие то в истории браузера.
Цитата
0xd8 C:\TEST\sample.exe 0x771d9710 c:!documents and settings!user!cookies!
0xd8 C:\TEST\sample.exe 0x771d9710 c:!documents and settings!user!local settings!history!history.ie5!
0xd8 C:\TEST\sample.exe 0x771d9710 c:!documents and settings!user!local settings!temporary internet files!content.ie5!
Пред. 1 ... 82 83 84 85 86 ... 150 След.
Читают тему (гостей: 11)