поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 84 85 86 87 88 ... 152 След.
Сегодня бац...
Mozilla в полудохлом состоянии.
Запускается с задержкой секунд в 30.
В Sandboxie - вообще не работает - всё виснет.

И что оказалось ?
Установилось дополнение: "Визуальные закладки"
Вполне легитимное\официальное.
Удалил... и :D
Ужас :o
Прошу прощения -визуальные закладки от яндекса?
Цитата
TAVI пишет:
Прошу прощения -визуальные закладки от яндекса?
От них. :)
Вовремя от них отказался:D
что-то новое в корпорации Carberp придумали:
вместе с файликом в автозапуске еще и служба появилась:
(оба файла попали под одну сигнатуру да и SHA1 у них одинаковые.)

Цитата
олное имя C:\USERS\ЛЮДМИЛА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ASXVZDIRFGK.EXE
Имя файла ASXVZDIRFGK.EXE
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 191488 байт
Создан 14.07.2009 в 06:11:12
Изменен 14.07.2009 в 08:14:39
Атрибуты СИСТЕМНЫЙ R/O
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла "Скрытый" или "Системный" [типично для вирусов]
Путь до файла Типичен для вирусов и троянов

Доп. информация на момент обновления списка
SHA1 3A972F93F18B4448C56E3DF81768BEBEB3474572

Ссылки на объект
Ссылка C:\USERS\ЛЮДМИЛА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP

и

Цитата
Полное имя C:\WINDOWS\SYSTEM32\COM\SVCHOST.EXE
Имя файла SVCHOST.EXE
Статус ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске
Размер 191488 байт
Создан 09.11.2012 в 20:02:15
Изменен 09.11.2012 в 20:02:00
Атрибуты СИСТЕМНЫЙ R/O
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла "Скрытый" или "Системный" [типично для вирусов]
Путь до файла Не_типичен для этого файла [имя этого файла есть в известных]

Доп. информация на момент обновления списка
SHA1 3A972F93F18B4448C56E3DF81768BEBEB3474572

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\Windows \ImagePath
ImagePath C:\windows\system32\com\svchost.exe
Windows тип запуска: Авто (2)

https://www.virustotal.com/file/f2bf367f264a7288ad2f4b920a038eceb235fab19ede9fe4409­36f76a73ab283/analysis/1352967295/

в нормальном режиме вылетают AVZ и uVS. startf завис при выполнении анализа.
Изменено: santy - 15.11.2012 12:26:53
Было уже такое:
http://forum.esetnod32.ru/messages/forum6/topic7566/message56155/#message56155
Но второго файла нет.
Правильно заданный вопрос - это уже половина ответа
угу, свежий пример.
странно, что в увс он "был не найден", а малваребайт его закарантинил.

Цитата
C:\Windows\System32\com\svchost.exe (Trojan.Agent) -> Помещено в карантин и успешно удалено.
C:\Windows\SysWOW64\com\svchost.exe (Trojan.Agent) -> Помещено в карантин и успешно удалено.

в моем первом примере, пришлось прибивать в безопасном режиме,
ESET sysinspector в нормальном режиме создал лог, собственно из него  я и увидел левый svchost.exe
Может для пробы скорректировать инструкцию.( Для таких случаев )
"Откройте меню: Дополнительно и выполните команду: Выгрузить всё неизвестные/непроверенные процессы..."
После чего откройте меню Файл: Сохранить полный образ автозапуска...

Проверить
Найдёт или нет.
Как это повлияет на эффективность ?
Изменено: RP55 RP55 - 15.11.2012 13:35:39
Будем ждать человека который напишет что не может создать образ.
Правильно заданный вопрос - это уже половина ответа
Цитата
RP55 RP55 пишет:
Может для пробы скорректировать инструкцию.( Для таких случаев )
"Откройте меню: Дополнительно и выполните команду: Выгрузить всё неизвестные/непроверенные процессы..."
После чего откройте меню Файл: Сохранить полный образ автозапуска...

Проверить
Найдёт или нет.
Как это повлияет на эффективность ?
не так то просто выгрузить службу, усиленный режим запуска не помог. вариант есть железобетонный... не создается образ в нормальном режиме, пробуем создать в безопасном.
Изменено: santy - 15.11.2012 13:47:17
Пред. 1 ... 84 85 86 87 88 ... 152 След.
Читают тему (гостей: 2)