поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 3 4 5 6 7 ... 167 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.11.2011 21:29:28

Цитата
Арвид пишет: при запуске IGFXTRAY.EXE Нод говорит что меняется этот ключ реестра

значит через HIPS можно заблокировать его запуск

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 21:31:02

не думаю. процесс уже внедрен в svchost. именно он и меняет параметр (а может и не меняет)
после ребута увидел такое сообщение (все разрешаю)
в Автозагрузке пока чисто

Прикрепленные файлы

Image 130.png (18.56 КБ)

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 21.11.2011 21:34:43

Цитата
Арвид пишет: при запуске IGFXTRAY.EXE Нод говорит что меняется этот ключ реестра

Прикрепленные файлы

2011-11-21_233226.jpg (23.48 КБ)

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 21:41:31

RP55 RP55,
да, у меня такое же значение (имя юзера другое). вроде как ничего и не изменилось
вот, если интересно. образ автозапуска до и после заражения. все чисто. загрузчики целы, файла нет. чет мне какой-то нерабочий вирус попался:(

Прикрепленные файлы

uvs.zip (427.77 КБ)

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 21.11.2011 21:46:52

Цитата
Арвид пишет: чет мне какой-то нерабочий вирус попался

Его в папку "Автозагрузка"
После чего рестарт...
И...
Получаем максимум удовольствия...

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 21:46:58

о, неужели получилось со второй попытки)) перевел просто число на завтрашний день. теперь видно куда он пытается залезть и файл есть в Автозагрузке

Прикрепленные файлы

Image 131.png (33.76 КБ)

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 21:53:44

после перезагрузки файла не видно. антивирус начал орать

Прикрепленные файлы

Image 133.png (8.29 КБ)

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 21:54:26

немного удивился только что - файл появился в папке Автозагрузка и сам оттуда пропал через секунду

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 21:59:05

действительно. файл сам удаляется и сам там появляется через определенное время. последите сами

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 21.11.2011 21:59:06

Цитата
Арвид пишет: немного удивился только что - файл появился в папке Автозагрузка и сам оттуда пропал через секунду

файл > Добавить файлы каталога в список.
Так его видно ?

Изменено: RP55 RP55 - 21.11.2011 21:59:21

Пред. 1 ... 3 4 5 6 7 ... 167 След.