поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

RP55, не ответил на мой вопрос.
файл был обнаружен как скрытый и системный после выгрузки процесса, или при активном процессе Карберп?
Цитата
santy пишет:
скорее всего, файлик стал виден после выгрузки процесса, сам активный процесс должен скрывать присутствие файла в директории.
В том - то и прикол - что файл/тело был скрыт - его не было видно.
А вот так, как на фото - Он отображался.
Цитата
RP55 RP55 пишет:
Загрузчик родной системы есть в базе проверенных ?
Можно проверить/сравнить - есть ли изменения.
на компьютере 3 системы установлено, всего получилось 4 раздела
для дисков D,E,F - загрузчик проверенный. на С - нет. именно там и хранится основной загрузчик (100 мб раздел от Семерки)
Правильно заданный вопрос - это уже половина ответа
Цитата
santy пишет:
RP55, не ответил на мой вопрос. файл был обнаружен как скрытый и системный после выгрузки процесса, или при активном процессе Карберп?
Я его на виртуалке гонял - он мог не вполне корректно работать.
Цитата
santy пишет:
с HIPS - это понятно, но сейчас далеко не у всех даже версия EAV/ESET 5 установлена, а если установлен, то скорее всего в автоматическом режиме
Можно советовать к 4-ке ставить платный WinPatrol или чуть менее лучший, но бесплатный Anvir Task Manager.
Цитата
Важен факт очистки самого трояна, активного уже в системе
Ну, если уж очень нужно, можно собственные утилиты программировать под каждый вирус-троян и их модификации. Было бы желание, мозги и время.
Я вообще не понимаю, почему ESET не создает свои программерские отделения на просторах СНГ. Им было бы чем заняться. Понятно, что ESET хочет, чтобы вся разработка была сосредоточена в Словакии: доходы тогда максимальны. Но вот, например, Comodo переносит девелоперские центры на просторы СНГ, и неслучайно так делает.
Простите за офф-топ)
Цитата
Арвид пишет:
на компьютере 3 системы установлено, всего получилось 4 раздела для дисков D,E,F - загрузчик проверенный. на С - нет. именно там и хранится основной загрузчик (100 мб раздел от Семерки)

Да...
Интересно, чем лечение закончиться...
Цитата
RP55 RP55 пишет:
Цитата
santy пишет:

RP55, не ответил на мой вопрос. файл был обнаружен как скрытый и системный после выгрузки процесса, или при активном процессе Карберп?

Я его на виртуалке гонял - он мог не вполне корректно работать.
ничего не понял,
можно конкретнее.
Файл обнаруживался на диске при активном Карберп, или после выгрузки его из памяти? (не важно где был тест, на виртуалке или на рабочем компе.)
Цитата
marshal64 пишет:
Можно советовать к 4-ке ставить платный WinPatrol или чуть менее лучший, но бесплатный Anvir Task Manager.
это надо проверять, позволит ли Anvir прописаться трояну в папку автозагрузки или нет.
проверю на VM реакцию на tr antivir personal, avast free с обновленными базами (что они видят, если не детектят вирус). после отпишусь.
Цитата
santy пишет:
Файл обнаруживался на диске при активном Карберп, или после выгрузки его из памяти?
Через uVS его было видно на диске. "Добавь файлы каталога в список проверки."
Да и при при просмотре "Все файлы" _неизвестные_ его тоже было видно.
Загрузчик был без изменения -( без доступа к сети )
В TASKMGR его не было.
При повторном запуске вируса TASKMGR некоторое время не отвечал.
Но потом сам без всякого вмешательства заработал.  
P.S. Мне кажется, что проще зверя самостоятельно запустить - и посмотреть, что и как будет.
Изменено: RP55 RP55 - 21.11.2011 20:47:01
Читают тему (гостей: 3)