поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 158 159 160 161 162 ... 167 След.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 23.05.2021 18:41:07

Пока искал информацию опять айфон выиграл :)
Везёт же ...
----
Тема должна и на других форумах быть - посмотрю.

Прикрепленные файлы

33445566_cr.jpg (43.33 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 23.05.2021 18:58:25

По форумам лечения пока глухо.

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 23.05.2021 21:41:32

Цитата
RP55 RP55 написал: По форумам лечения пока глухо.

ну почему же
https://forum.eset.com/topic/28522-dotnet-msil-injectorvgr/page/2/
Все таки забекдурили утилиту...

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 24.05.2021 14:21:03

Цитата

Дмитрий Б написал:

Цитата
RP55 RP55 написал: По форумам лечения пока глухо.

ну почему же
https://forum.eset.com/topic/28522-dotnet-msil-injectorvgr/page/2/
Все таки забекдурили утилиту...

отлично, нас также отметили на форуме eset.com в этой теме

Цитата
Interesting posting for MSIL / Injector.VGR on Eset Russian language forum here: https://translate.google.com/translate?hl=en&sl=ru&u=http://forum.esetnod32.ru/forum6/topic16369/&prev=search&pto=aue . It appears a bit of manual cleaning for removal of it is required. Also, do not use the script posted in this link since it was written specifically for the OP. However, I would check the below locations for presence of the files listed; %SystemDrive% \ USERS \ xxxxx \ APPDATA \ ROAMING \ MICROSOFT \ WINDOWS \ START MENU \ PROGRAMS \ STARTUP \ MICROSOFT NET_FRAMEWORK.BAT %SystemDrive% \ USERS \ xxxxx \ APPDATA \ ROAMING \ MICROSOFT \ GOOGLE \ CHROMEEXTENSIONS \ ADS \ HONEYADS \ EXUPD.EXE

Цитата

Interesting posting for MSIL / Injector.VGR on Eset Russian language forum here: https://translate.google.com/translate?hl=en&sl=ru&u=http://forum.esetnod32.ru/forum6/topic16369/&prev=search&pto=aue .

It appears a bit of manual cleaning for removal of it is required. Also, do not use the script posted in this link since it was written specifically for the OP. However, I would check the below locations for presence of the files listed;

%SystemDrive% \ USERS \ xxxxx \ APPDATA \ ROAMING \ MICROSOFT \ WINDOWS \ START MENU \ PROGRAMS \ STARTUP \ MICROSOFT NET_FRAMEWORK.BAT
%SystemDrive% \ USERS \ xxxxx \ APPDATA \ ROAMING \ MICROSOFT \ GOOGLE \ CHROMEEXTENSIONS \ ADS \ HONEYADS \ EXUPD.EXE

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 24.05.2021 15:07:17

так, ESET начал детектировать
C:\USERS\*\APPDATA\ROAMING\MICROSOFT\HASHCALC\MD5\HASHCALC.EXE

ESET-NOD32
MSIL/Agent.UNR
https://www.virustotal.com/gui/file/d1d09502f2352ce7ba252cfe146bbb4fa1d9e1354ee607694840ca8c7e4c6d50/detection
+

calc.dll
ESET-NOD32
MSIL/Agent.UNR
DrWeb
Trojan.LoaderNET.2
https://www.virustotal.com/gui/file/e148e5485feb62bc42152c0807c36834c054932bec0f54f24c9f325705f7d492/detection

------------
судя по последней теме есть повторное заражение
+
во всех темах на форуме есть свежеустановленный origin с неподписанными dll

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 30.05.2021 14:33:51

тема с hashcalc на форуме Касперского
(посыпались)
https://forum.kasperskyclub.ru/topic/82418-proshu-pomoshhi-v-udalenii-trojana-memtrojanwin32sepehgen/
+
https://forum.kasperskyclub.ru/topic/82359-ne-mogu-udalit-memtrojanwin32sepehgen/
+
https://forum.kasperskyclub.ru/topic/82451-amsi-zashhita-heurtrojanmsilminergen/
+
https://forum.kasperskyclub.ru/topic/82452-kasperskij-vydaet-problemu-pod-nazvaniem-memtrojanwin32sepehgen/

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 10.06.2021 08:18:50

Скрытый майнер в svchost.exe
https://www.cyberforum.ru/viruses/thread2844923.html

хвост (в svchost.exe) виден в uVS

а из под Winpe видим, что скрытую dll и службу, запускаемую через svchost.exe
https://www.virustotal.com/gui/file/7893c5e68ff78d76c0b4b8ba5ae2367fa9c285efe520de44ff12498ba90df5b0/detection

Цитата
Полное имя C:\WINDOWS\SYSTEM32\MS5AC23CA6APP.DLL Имя файла MS5AC23CA6APP.DLL Тек. статус ?ВИРУС? ВИРУС сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST] Фильтр Обнаруженные сигнатуры Сигнатура Win32/Packed.VMProtect.AB (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2021-06-09 www.virustotal.com 2021-06-01 00:20 [2021-05-05] DrWeb Trojan.Packed2.43111 ESET-NOD32 a variant of Win32/Packed.VMProtect.ABO Kaspersky Trojan.Win32.Agentb.kkyb Microsoft Trojan:Win32/Vigorf.A Удовлетворяет критериям SERV_DLL.FALSE (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)] MINER (FILTERED) (SERVICEDLL ~ C:\WINDOWS\SYSTEM32\MS5AC23CA6APP.DLL)(1) [filtered (0)] Сохраненная информация на момент создания образа Статус сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST] File_Id 609002E7CF000 Linker 8.0 Размер 394240 байт Создан 25.05.2021 в 14:12:38 Изменен 04.05.2021 в 18:19:00 TimeStamp 03.05.2021 в 14:04:23 EntryPoint + OS Version 0.2 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL + IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 64-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Доп. информация на момент обновления списка SHA1 5FC84FB8A1052C66C3456B39FF0B2F1BA30BAC01 MD5 BA8C6938AA6973E5081F48F1D61E2969 Ссылки на объект Ссылка HKLM\uvs_system\ControlSet001\Services\Ms5AC23CA6App\Parameters\ServiceDLL ServiceDLL C:\Windows\System32\Ms5AC23CA6App.dll Name Ms5AC23CA6App Изменен 25.05.2021 в 14:12:38

Цитата

Полное имя C:\WINDOWS\SYSTEM32\MS5AC23CA6APP.DLL
Имя файла MS5AC23CA6APP.DLL
Тек. статус ?ВИРУС? ВИРУС сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST] Фильтр

Обнаруженные сигнатуры
Сигнатура Win32/Packed.VMProtect.AB (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2021-06-09

www.virustotal.com 2021-06-01 00:20 [2021-05-05]
DrWeb Trojan.Packed2.43111
ESET-NOD32 a variant of Win32/Packed.VMProtect.ABO
Kaspersky Trojan.Win32.Agentb.kkyb
Microsoft Trojan:Win32/Vigorf.A

Удовлетворяет критериям
SERV_DLL.FALSE (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
MINER (FILTERED) (SERVICEDLL ~ C:\WINDOWS\SYSTEM32\MS5AC23CA6APP.DLL)(1) [filtered (0)]

Сохраненная информация на момент создания образа
Статус сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
File_Id 609002E7CF000
Linker 8.0
Размер 394240 байт
Создан 25.05.2021 в 14:12:38
Изменен 04.05.2021 в 18:19:00

TimeStamp 03.05.2021 в 14:04:23
EntryPoint +
OS Version 0.2
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Доп. информация на момент обновления списка
SHA1 5FC84FB8A1052C66C3456B39FF0B2F1BA30BAC01
MD5 BA8C6938AA6973E5081F48F1D61E2969

Ссылки на объект
Ссылка HKLM\uvs_system\ControlSet001\Services\Ms5AC23CA6App\Parameters\ServiceDLL
ServiceDLL C:\Windows\System32\Ms5AC23CA6App.dll
Name Ms5AC23CA6App
Изменен 25.05.2021 в 14:12:38

похожая тема:
https://forum.eset.com/topic/28800-cleaning-rootkit-problem/

Цитата
Hi Dear ESET Admins. We find over 10 System in a network that was infected with a Dll that work like a rootkit. it use svchost.exe and dllhost.exe to download other Trojans and coin-miners. The main dll threat is : c:\windows\system32\Ms32A1591EApp.dll

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 10.06.2021 21:01:09

Пожалуй тоже интересно.
virusinfo.info/showthread.php?t=226896&s=3f98f4e4dd71fb5419501413fd0b259c

Столько файлов запихать в START MENU\PROGRAMS...

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 11.06.2021 15:39:24

Цитата
RP55 RP55 написал: Столько файлов запихать в START MENU\PROGRAMS...

+
здесь плюс еще в том, что все файлы найдены одной сигнатурой, и удаляются скриптом из трех команд
addsign
chklst
delvir

без указаний на длинные пути файлов.

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 28.06.2021 16:22:56

Microsoft призналась в подписании вредоносного драйвера «Netfilter»

«Netfilter» оказался руткитом, который обменивался данными с китайскими командными серверами...

safezone.cc/threads/microsoft-priznala-chto-podpisala-rutkit-vredonosnoe-po.38893/

https://www.virustotal.com/gui/file/e0afb8b937a5907fbe55a1d1cc7574e9304007ef33fa80ff3896e997a1beaf37/details

Пред. 1 ... 158 159 160 161 162 ... 167 След.