поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 9 10 11 12 13 ... 150 След.
загрузчики чистые,
интересен как раз тот случай, когда нет или удален,
Цитата
[CARBERP] ПОЛНОЕ ИМЯ: C:\DOCUMENTS AND SETTINGS\123\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
uVS показывает, что загрузчики чистые,
ESET продолжает сигналить что Carberp в памяти, очистка невозможна,
а tdsskiller пишет что rt.Cidox есть в загрузчиках.
-------
вот такое состояние системы надо рассмотреть из под WinPe&uVS,
используй Live.CD на базе WinPE 3.1 чтобы работала проверка по цифровому каталогу.
(из этой темы
http://forum.esetnod32.ru/forum6/topic2102/
)
Цитата
santy пишет:
вот такое состояние системы надо рассмотреть из под WinPe&uVS
нету пока такого счастья:)
Цитата
santy пишет:
используй Live.CD на базе WinPE 3.1 чтобы работала проверка по цифровому каталогу
встроенный uVS пару раз выдавал ошибку подключения реестра. запустил с этого же LiveCD версию 3.72, с третьей попытки подключился удачно к системе. делал файл сверки, ничего нового не дало
Image 166.png (79.36 КБ)
Image 165.png (33.99 КБ)
Изменено: Арвид - 29.11.2011 07:23:29
Правильно заданный вопрос - это уже половина ответа
типичный пример заражения Carberp
------
Цитата
29.11.2011 7:55:31 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1796) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна GLAVBUH\Администратор

28.11.2011 10:20:05 Фильтр HTTP файл хттп://csrv293.biz14.com/content/field.swf SWF/Exploit.Agent.CN троянская программа соединение прервано - изолирован GLAVBUH\Администратор Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files\Mozilla Firefox\firefox.exe.
Изменено: santy - 29.11.2011 08:42:02
http://www.youtube.com/user/nodikess?feature=mhee#p/u/3/-wAjCT6L_tc
http://www.youtube.com/user/nodikess?feature=mhee#p/u/8/1oLNfGsIQJU
:)
Изменено: EVE N - 29.11.2011 22:42:39
ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats
Carberp стал кидать в автозапуск несколько файлов (пока что попадают под одну сигнатуру - видимо близнецы)

Цитата
zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\STAR­T MENU\PROGRAMS\STARTUP\IGFXTRAY.EXE
zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\STAR­T MENU\PROGRAMS\STARTUP\VTOKRWPVCDM.EXE
странное название - VTOKRWPVCDM
uVS такое пишет при чистом файле проверенного на VT :)
Правильно заданный вопрос - это уже половина ответа
а еще на ВТО похоже. :)
-----------
Цитата
Полное имя                  C:\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VTOKRWPVCDM.EXE
Имя файла                   VTOKRWPVCDM.EXE
Тек. статус                 ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      167424 байт
Создан                      30.11.2011 в 20:30:21
Изменен                     30.11.2011 в 20:30:08
Атрибуты                    СИСТЕМНЫЙ  R/O  
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            Ap5wrfp1SYlb
Версия файла                Rvywms2GpItk
Версия продукта             6MMiZW3V
Описание                    GftahQmkIM
Продукт                     1GfF
Производитель               Nullsoft, Inc.
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
SHA1                        78C2BC09A0C6E270EDE706C54D0302E42203BC5C
MD5                         13676CFE771A82C0D2A5647744CAD9E2
                           
Ссылки на объект            
Ссылка                      C:\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP
                           
ну теперь точно сомнений нет. еще и размер хороший  :)
Правильно заданный вопрос - это уже половина ответа
Эволюция Carberp
http://blog.eset.com/2011/11/21/evolution-of-win32carberp-going-deeper
Да, эволюционирует он не плохо :)
Кстати, еще одно его новое имя в автозагрузке - BPB2TUUM9GG.EXE
http://forum.esetnod32.ru/messages/forum6/topic3033/message25722/#message25722
Правильно заданный вопрос - это уже половина ответа
Пред. 1 ... 9 10 11 12 13 ... 150 След.
Читают тему (гостей: 10)