поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 116 117 118 119 120 ... 167 След.

Сообщений: 19

Баллов: 9

Регистрация: 09.04.2013

Размещено 26.01.2014 19:26:28

это при работе с образом - в работе с реальной машиной, почему та зацепило файлы intel (драйвер сата и панель управления)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 26.01.2014 19:32:07

дак непонятно, с какого файла ты снимал сигнатуру.... если с этого

Цитата
C:\USERS\ALEX\APPDATA\ROAMING\MALWAREBYTES\GOOGLEUPD.EXE

то, какой смысл с него снимать сигнатуру, скорее всего стандартный файлик, который запускает другое приложение... явных вредоносных действий здесь нет.

[ Как создать образ автозапуска? ]

Сообщений: 19

Баллов: 9

Регистрация: 09.04.2013

Размещено 26.01.2014 19:35:32

вроде с него
C:\USERS\ALEX\APPDATA\ROAMING\MALWAREBYTES\CHROME.EXE

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 26.01.2014 19:47:25

эта сигнатура?

Цитата
addsgn 925262DA196AC1CCE01B5D4EA34F9EC12B8A7411B29848FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 Tool.BtcMine.188 [DrWeb]

а зацепило в работе с реальной другой машиной, или с этой же, откуда был снят образ?

Изменено: santy - 26.01.2014 19:48:28

[ Как создать образ автозапуска? ]

Сообщений: 19

Баллов: 9

Регистрация: 09.04.2013

Размещено 26.01.2014 21:07:41

сейчас доступа к той машине нет (где выцепил майнер)

дело было так: я добавил сигнатуры с именем файла (CHROME.EXE) и обновил список - появились "лишние" файлы, якобы совпадающие по сигнатуре (с CHROME.EXE)

попытка увеличить лишь сбросила отметку о совпадении со всех файлов - в ручную удалил файл и все ссылки (через uvs)

проблема решена, только в процессе удаления выскочило окно, что драйвер восстановлен (nvidia)

как я понял, майнер работает через opencl, с любой картой (а не только amd)

а симптомы и собственно причина, по которой я полез по удаленке на этот комп "включаю интернет и через 10 минут все тупит, окна еле ворочаются" (видимо майнер не хило грузит карту)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 02.02.2014 20:33:18

по теме с Медиа Плеером, просьба не рекомендовать (пока) очистку в малваребайт, адвклинере.
в теме
http://forum.esetnod32.ru/forum6/topic10520/

надо продолжить исследование проблемы с добавлением расширения через локальные политики.
возможно, здесь оно есть.

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 02.02.2014 20:39:12

По плееру есть непроверенная информация, что запуск собственного Uninsta*.exe из Program Files в ряде случаев решает частично или полностью проблему.
Значит нужна копия данного файла.
Может так: дать ссылку на файл - человек скачивает Uninsta*.exe - запускает и проблема решена ?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 02.02.2014 20:53:58

все видимо зависит от того как настроено добавление расширения в браузер.
точнее если в правилах (политиках) в URL адрес прописано локальное обновление crx файла, который может быть в папке media player, тогда его унинсталл решит проблему... если же прописан адрес из сети, например отсюда ( mediaply.net), тогда по идее он должен восстановиться.

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 02.02.2014 21:01:56

Цитата
santy пишет: Если же прописан адрес из сети, например отсюда ( mediaply.net), тогда по идее он должен восстановиться.

Доступ к сайту можно отдельно блокировать.
Вот бы получить установщик для/в Program Files.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 02.02.2014 21:12:44

имеешь ввиду установщик самого media player-а?

а расширение crx есть в папке в указанной выше теме

Цитата
C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta697\ch\VideoPlayerV3beta697.crx (Adware.VPlayer) -> Действие не было предпринято.

------------------
кстати, у него все это есть, правда живой сейчас первый... другие либо скрыты из списка установленных программ, либо не найдены деинсталлаторы.

Цитата
exec C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta697\uninstall.exe exec C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha850\uninstall.exe exec C:\Program Files (x86)\BetterSurf\BetterSurfPlus\uninstall.exe

Изменено: santy - 02.02.2014 21:23:50

[ Как создать образ автозапуска? ]

Пред. 1 ... 116 117 118 119 120 ... 167 След.