поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 88 89 90 91 92 ... 167 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 15.12.2012 16:36:11

ESET Uninstaller обновился до версии 6.0.3
ESETUninstaller /version

Цитата
Z:\avirus\Uninstaller\Eset Uninstaller\6.0.3\ESETUninstaller.exe 6.0.3.0

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 16.12.2012 17:45:37

Цитата
Полное имя 5.199.140.180\Подключение по локальной сети\4\{B95CCA85-7621-40A5-A11B-0056D3DB5FD1} Имя файла {B95CCA85-7621-40A5-A11B-0056D3DB5FD1} Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ DNS Удовлетворяет критериям ЛЕВЫЙ DNS (DNS ~ 5.199.140.180)(1) Сохраненная информация на момент создания образа DNS 5.199.140.180 Статус DNS

Цитата

Полное имя 5.199.140.180\Подключение по локальной сети\4\{B95CCA85-7621-40A5-A11B-0056D3DB5FD1}
Имя файла {B95CCA85-7621-40A5-A11B-0056D3DB5FD1}
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ DNS

Удовлетворяет критериям
ЛЕВЫЙ DNS (DNS ~ 5.199.140.180)(1)

Сохраненная информация на момент создания образа
DNS 5.199.140.180
Статус DNS

здесь
http://forum.esetnod32.ru/forum6/topic8107/

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.12.2012 15:31:08

здесь можно пополнить сигнатуры
http://virusinfo.info/showthread.php?t=128880
+
похоже,
замученный explorer.exe

Цитата
Полное имя C:\WINDOWS\EXPLORER.EXE Имя файла EXPLORER.EXE Тек. статус ИЗВЕСТНЫЙ в автозапуске Сохраненная информация на момент создания образа Статус ИЗВЕСТНЫЙ в автозапуске Инф. о файле Не удается найти указанный файл. Цифр. подпись проверка не производилась Ссылки на объект Ссылка HKLM\Software\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\Shell\find\Command\ NULL %SystemRoot%\Explorer.exe Ссылка HKLM\Software\Classes\CLSID\{450D8FBA-AD25-11D0-98A8-0800361B1103}\Shell\find\Command\ NULL %SystemRoot%\Explorer.exe Ссылка HKLM\Software\Classes\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}\Shell\find\Command\ NULL %SystemRoot%\Explorer.exe Ссылка HKLM\Software\Classes\CLSID\{48e7caab-b918-4e58-a94d-505519c795dc}\Shell\open\Command\ NULL %SystemRoot%\Explorer.exe /idlist,%I,%L Ссылка HKLM\Software\Classes\CLSID\{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}\Shell\explore\Command\ NULL %SystemRoot%\Explorer.exe /e,/idlist,%I,%L Ссылка HKLM\Software\Classes\CLSID\{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}\Shell\find\Command\ NULL %SystemRoot%\Explorer.exe Ссылка HKLM\Software\Classes\CLSID\{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}\Shell\open\Command\ NULL %SystemRoot%\Explorer.exe /idlist,%I,%L

Цитата

Полное имя C:\WINDOWS\EXPLORER.EXE
Имя файла EXPLORER.EXE
Тек. статус ИЗВЕСТНЫЙ в автозапуске

Сохраненная информация на момент создания образа
Статус ИЗВЕСТНЫЙ в автозапуске
Инф. о файле Не удается найти указанный файл.
Цифр. подпись проверка не производилась

Ссылки на объект
Ссылка HKLM\Software\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\Shell\find\Command\
NULL %SystemRoot%\Explorer.exe

Ссылка HKLM\Software\Classes\CLSID\{450D8FBA-AD25-11D0-98A8-0800361B1103}\Shell\find\Command\
NULL %SystemRoot%\Explorer.exe

Ссылка HKLM\Software\Classes\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}\Shell\find\Command\
NULL %SystemRoot%\Explorer.exe

Ссылка HKLM\Software\Classes\CLSID\{48e7caab-b918-4e58-a94d-505519c795dc}\Shell\open\Command\
NULL %SystemRoot%\Explorer.exe /idlist,%I,%L

Ссылка HKLM\Software\Classes\CLSID\{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}\Shell\explore\Command\
NULL %SystemRoot%\Explorer.exe /e,/idlist,%I,%L

Ссылка HKLM\Software\Classes\CLSID\{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}\Shell\find\Command\
NULL %SystemRoot%\Explorer.exe

Ссылка HKLM\Software\Classes\CLSID\{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}\Shell\open\Command\
NULL %SystemRoot%\Explorer.exe /idlist,%I,%L

Изменено: santy - 21.12.2012 15:35:07

[ Как создать образ автозапуска? ]

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 21.12.2012 20:33:59

Интересная темка
http://virusinfo.info/showthread.php?t=129149

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 23.12.2012 15:58:58

добавьте в критерии

Цитата
(ССЫЛКА ~ .JOB)(1) AND (ЗНАЧЕНИЕ ~ "CMD.EXE" "/C ATTRIB -H)(1)

Изменено: santy - 23.12.2012 15:59:12

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 23.12.2012 16:38:38

Или так:
(ЗНАЧЕНИЕ ~ \ETC\HOSTS /)(1)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 23.12.2012 16:40:46

можно и так, поскольку cmd.exe плавает. то с кавычками встречается, то без них.

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 23.12.2012 16:47:21

не понимаю зачем вы добавляете такие жесткие критерии. у меня еще со времен появления COPY в образах добавлен критерий cmd.exe и все что потом модифицировалось с другими именами все равно отображалось в Подозрительных. тоже самое с вебсайтами. многие добавляют критерии для webalta, browserhelp и т.д. у меня добавлен http:// и опять же абсолютно все сайты в Подозрительных есть.

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 23.12.2012 16:55:04

Цитата
Арвид пишет: У меня добавлен http:// и опять же абсолютно все сайты в Подозрительных есть.

Я это давно понял.
Интересная идея.
Поэтому, в рамках предложений для uVS
Мной была высказана идея о возможности переноса/настройки по settings.ini
Всех файлов/объектов из заданной/выбранной категории в "Подозрительные и вирусы"
Это может быть категория: Tasks или Ссылок и тд.
Арвид подкинул идею.

Изменено: RP55 RP55 - 23.12.2012 16:57:18

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 23.12.2012 17:15:52

http://vms.drweb.com/virus/?i=1056653
http://vms.drweb.com/virus/?i=1714720

Пред. 1 ... 88 89 90 91 92 ... 167 След.