Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

поговорить о uVS, Carberp, планете Земля

RSS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.11.2011 19:06:42
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 98 99 100 101 102 ... 167 След.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 12.04.2013 06:28:48
угу, похоже ДрВеб нашел компаньона, который запускался через rpcss.dll
http://news.drweb.com/show/?i=3447&lng=ru&c=14

но вот по лечению куритом rpcss.dll много уже возникает проблем
http://virusinfo.info/showthread.php?t=136970

+
Цитата
Подтверждаю - два раза воспроизводил с тем же "успехом" - файл rpcss.dll вообще отсутствует после лечения. Пожалуйста примите меры !
Изменено: santy - 12.04.2013 13:17:17
[ Как создать образ автозапуска? ]
 
Yung
Yung
Пользователь
Сообщений: 188
Баллов: 150
Регистрация: 12.07.2011
Размещено 17.04.2013 19:09:05
Нельзя ли защитить файл rpcss.dll в HIPS?
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 17.04.2013 19:15:01
можно. создайте правило на запись в этот файл.
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 21.04.2013 19:08:45
чаще стало встречаться
Цитата
а свежеустановленный mbam не работает!

Цитата
Полное имя UEGIWS_.EXE
Имя файла UEGIWS_.EXE
Тек. статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле Не удается найти указанный файл.
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Тип запуска Неизвестный отладчик приложения(ий)
Отладчик Файл отсутствует либо скрыт [может быть исп. для блокировки запуска]

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mbam.exe\Debugger
http://forum.esetnod32.ru/forum6/topic9318/
Изменено: santy - 21.04.2013 19:09:04
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.04.2013 19:23:07
но при этом Мбам запустился и проверка произвелась:
Код
Обнаруженные ключи в реестре:  6
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hijackthis.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\housecalllauncher.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mbam.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mbamgui.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spybotsd.exe (Security.Hijack) -> Действие не было предпринято.
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 21.04.2013 19:41:03
это потому что ты очистил записи (где закорочено на debugger) скриптом в uVS (файл не найден)
Изменено: santy - 21.04.2013 19:42:52
[ Как создать образ автозапуска? ]
 
Yung
Yung
Пользователь
Сообщений: 188
Баллов: 150
Регистрация: 12.07.2011
Размещено 21.04.2013 22:18:46
Дайте пож ссылку на версию 3.77.10
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.04.2013 22:20:21
встроенной обновлялкой можно обновиться до этой версии
Правильно заданный вопрос - это уже половина ответа
 
Yung
Yung
Пользователь
Сообщений: 188
Баллов: 150
Регистрация: 12.07.2011
Размещено 21.04.2013 23:18:25
Арвид
где взять адрес?
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.04.2013 23:19:27
вводим свое мыло, кидает на сайт uVS, на почте код будет, его вводим на сайт, получаем новый профиль, там будет btc адрес
Правильно заданный вопрос - это уже половина ответа
 
Пред. 1 ... 98 99 100 101 102 ... 167 След.
Читают тему