поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

ого, я популярен  :oops:
вот тока не ясно, как система дает заменить "на лету" rpcss или хваленая защита системных файлов работает выборочно?
если не изменяет память, в каспере и атупосте был контроль целостности в реальном времени - спасает от данной угрозы или?
кто его знает. установщика нет. возможно файл подменяется на перезагрузке. обратная же замена модифицированного на чистый вообще выполнена в uVS из активной системы.
виртуализация или на живую?
на живую нормально заменяется (правда с переименовыванием оригинала). проверено уже много раз.
Правильно заданный вопрос - это уже половина ответа
Арвид, ты в своей сборке какой файл rpcss.dll используешь для замены Win7 x64? из своей коллекции, или тот , что был по ссылке на фОРУме PH? настораживает что уже три неудачные замены были именно на этой версии.
Изменено: santy - 09.04.2013 20:19:52
тот что на форуме выкладывали. никто еще не жаловался
http://www.adminplanet.ru/t9181.html
http://www.adminplanet.ru/t9175.html
http://www.adminplanet.ru/t9174.html
Правильно заданный вопрос - это уже половина ответа
так может версии разные? с сп, без сп и тд
по образ всегда есть возможность определить какой версии файл rpcss.dll
--------
Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\RPCSS.DLL
Имя файла                   RPCSS.DLL
Тек. статус                 ?ВИРУС? ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
                           
Удовлетворяет критериям    
FALSESERVICEDLL             (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
Размер                      512512 байт
Создан                      21.11.2010 в 06:24:01
Изменен                     21.11.2010 в 06:24:01
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            rpcss.dll
Версия файла                6.1.7601.17514 (win7sp1_rtm.101119-1850)
Описание                    Distributed COM Services
Copyright                   © Microsoft Corporation. All rights reserved.
Производитель               Microsoft Corporation
                           
Доп. информация             на момент обновления списка
SHA1                        BF6270F48860FE3A0940C74367ED6A0F8EBF1D5F
MD5                         B5DD6E84FE0DF0A1F41E538018BDE7E0
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\DcomLaunch\Parameters­\ServiceDLL
ServiceDLL                  %SystemRoot%\system32\rpcss.dll
                           
Ссылка                      HKLM\System\CurrentControlSet\Services\RpcSs\Parameters\Serv­iceDLL
ServiceDLL                  %SystemRoot%\system32\rpcss.dll
http://www.comss.info/page.php?al=TrojanZekos
Читают тему (гостей: 9)