Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

поговорить о uVS, Carberp, планете Земля

RSS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.11.2011 19:06:42
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 115 116 117 118 119 ... 167 След.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 27.12.2013 12:55:20
да, не мешает зачистить, хоть и не в автозапуске.

Цитата
2013-12-26 [2013-12-18 05:34:41 UTC ( 1 week, 2 days ago )]
Trojan.Win32.Agent.adptx
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 28.12.2013 16:39:46
http://forum.esetnod32.ru/forum6/topic10422/

Имя файла                   WININET.DLL

Ссылка                      HKLM\ruqhbnwvj\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigProxy
AutoConfigProxy             wininet.dll
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 01.01.2014 20:20:40
Zloydi, здесь аналогичная проблема с wmic.exe
http://www.adminplanet.ru/t9539.html

добавь себе критерий,
(ЗНАЧЕНИЕ ~ SETDNSSERVER)(1)
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 16.01.2014 08:44:26
проблемы не возникло с восстановлением доступа к рабочему столу при лечении MBRLock.17
https://www.virustotal.com/ru/file/eb20f4ed5df58c918dd8f4ee873e0849ff1f43d5a48c8953­d62e0abadcf14b55/analysis/1389847113/

1. восстанавливаем таблицу разделов в testdisk из под Winpe
2. перезаписываем MBR через функцию uVS
Изменено: santy - 16.01.2014 08:56:07
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 16.01.2014 13:44:31
Цитата
santy пишет:
проблемы не возникло с восстановлением доступа к рабочему столу при лечении MBRLock.17
А, как насчёт AntiSMS.4.2 ? Лечит ?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 16.01.2014 19:39:41
Цитата
А, как насчёт AntiSMS.4.2 ? Лечит ?
установщик разовый (или с ограничением запуска по времени), не запустился на другой ВМ. надо было откатывать время на целевой системе.
Изменено: santy - 17.01.2014 19:48:07
[ Как создать образ автозапуска? ]
 
Аркалык
Аркалык
Пользователь
Сообщений: 34
Баллов: 17
Регистрация: 23.10.2012
Размещено 17.01.2014 20:03:27
Пусть тут покажет скриншот установленных расширений: http://forum.esetnod32.ru/forum6/topic10467/?PAGEN_1=3
Может какой-то дополнение вещает рекламу.
 
g0dl1ke
g0dl1ke
Пользователь
Сообщений: 19
Баллов: 9
Регистрация: 09.04.2013
Размещено 26.01.2014 14:50:29
всем привет, не знаю "боян" ли, но вот что я только что задетектил у юзера:

https://www.virustotal.com/ru/file/903f8e191b638ba608e4286f6a6905daba9a403b2e127b37­efa1e2eb788aa41c/analysis/1390733179/
https://www.virustotal.com/ru/file/4ffdc458321d9374bd46b659ba0fb3de6e2f1eafb00a4a5a­728996aa4e37ffe7/analysis/1390733181/

собственно опять авторан через шедулер (видимо сейчас это модно)

C:\Users\Alex\AppData\Roaming\Malwarebytes\chrome.exe" --scrypt -o stratum+tcp://37.1.219.68:9007 -u strizon.2 -p x -w 256 -I 11

образ машины


конфиг майнера, если кому интересно
Изменено: g0dl1ke - 26.01.2014 14:54:32
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 26.01.2014 15:21:04
Угу.
Упакован  UPX
http://ru.wikipedia.org/wiki/UPX
И кстати говоря у него нет ресурсов :)
Оригинал: https://www.virustotal.com/ru/file/609f284e45032ec394479e30933959e10494d2d3c7da734d­4a2e89238172bbaf/analysis/
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 26.01.2014 17:12:54
Цитата
g0dl1ke пишет:
всем привет, не знаю "боян" ли, но вот что я только что задетектил у юзера:
...
самое интересное, что когда добавил в базу по хешу и обновил - вылезло еще 100500 якобы таких же (совпадающих по хешу) файлов, но которые 100% не заражены/не вредоносные/не опасны

о каком хэше и от какого файла идет речь? если речь о сигнатуре файла левого chrome.exe, то никаких ложняков нет.
Изменено: santy - 26.01.2014 17:13:19
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 115 116 117 118 119 ... 167 След.
Читают тему