поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 96 97 98 99 100 ... 167 След.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 03.04.2013 17:15:11

Цитата
zloyDi пишет: Вирлаб просит найти переименованные файлы.

Применить: adddir для \system32\+
И дальше поиск + Zоо.

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 03.04.2013 17:19:17

Цитата
RP55 RP55 пишет: Применить: adddir для \system32\+ И дальше поиск + Zоо.

Смешно... учитывая что у меня нет под рукой инфицированной системы и выполнить это как для пальца об ...

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 03.04.2013 17:41:05

Я разве о той системе, что под рукой говорил ?
---------------
Будет - тема - будет скрипт...

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 03.04.2013 18:24:42

надо иметь ввиду что adddir добавляет только исполняемые файлы, а в этом случае оригинал претерпел значительную "пластическую операцию"
если переименовывается в такие расширения.

Цитата
c:\windows\system32\ikom.euc c:\windows\system32\cuoa.cgw c:\windows\system32\kogh.kuo

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 03.04.2013 18:46:52

Santy
uVS - добавляет исполняемые файлы - вне зависимости какое на данный момент у них расширение.
В любом случае нужно пробовать - будут пластические файлы добавлены в список по команде adddir или нет.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 03.04.2013 19:04:51

решение здесь простое, если работать на рабочем столе проблемной системы.

скриптом перезаписываем оригинальный файл, сортируем список в system32 по размеру, и находим рядом с файлом rpcss.dll после замены переименованный файл

размеры должны быть одинаковы.
----------
одну такую пару я кстати уже нашел. (зашел по Teamviewer)
сейчас отправлю в вирлаб.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 03.04.2013 19:07:05

Цитата
RP55 RP55 пишет: Santy uVS - добавляет исполняемые файлы - вне зависимости какое на данный момент у них расширение. В любом случае нужно пробовать - будут пластические файлы добавлены в список по команде adddir или нет.

кстати и попробуй, это ведь несложно и недолго смоделировать.
скопировать файлик rpcss.dll например в такое имя ezho.nua

вот результат проверки
https://www.virustotal.com/ru/file/7b9f5434753fcdb11e352a41006a2c198b0c24c8caf2b5f8d77234ab83b72077/analysis/1365002251/

Изменено: santy - 03.04.2013 19:19:58

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 04.04.2013 05:41:58

Цитата

zloyDi пишет:

Цитата
RP55 RP55 пишет: Что по лечению ?

Вирлаб просит найти переименованные файлы
user rpcss_3_.dll - c:\windows\system32\ikom.euc
user rpcss.dll - c:\windows\system32\cuoa.cgw
user rpcss_2_.dll - c:\windows\system32\kogh.kuo

Если кто богат, прошу скинуть на почту.

один нашелся из этого списка (прислали в почту), выслал в почту. имена все разные для каждого случая заражения.

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 08.04.2013 15:04:03

Цитата
Авира умеет и могет лечить данный вирус - удаляя rpcss нафиг

http://forum.simplix.ks.ua/viewtopic.php?pid=15562#p15562

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 08.04.2013 20:01:46

а ДрВеб похоже замахнулся вылечить rpcss.dll

Цитата
----------- ----------------------------------------------------------------------------- Start curing ----------------------------------------------------------------------------- D:\WINDOWS\system32\rpcss.dll - infected, incurable, write error, delete error

http://forum.drweb.com/index.php?showtopic=313266&page=5#entry660702

[ Как создать образ автозапуска? ]

Пред. 1 ... 96 97 98 99 100 ... 167 След.