поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 110 111 112 113 114 ... 167 След.

Сообщений: 17964

Баллов: 28741

Регистрация: 16.03.2010

Размещено 06.11.2013 19:35:36

+ живой Win32/Caphaw, образ снят из безопасного режима.

Цитата
Полное имя C:\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\CRASH REPORTS\REGINI.EXE Имя файла REGINI.EXE Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске Статус ВИРУС Сигнатура Win32/Caphaw.A [глубина совпадения 64(64), необх. минимум 8, максимум 64] Удовлетворяет критериям CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске File_Id 527A279163000 Linker 8.0 Размер 405504 байт Создан 14.07.2009 в 02:58:28 Изменен 14.07.2009 в 04:14:30 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Оригинальное имя lexlse.exe Версия файла 21, 16, 23, 1249 Версия продукта 23, 16, 23, 159 Описание gex ocx Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов Путь до файла Не_типичен для этого файла [имя этого файла есть в известных] Доп. информация на момент обновления списка SHA1 D10EDEAD31FFC03AA257021ED2D4C40973FD86D1 MD5 05188C8462CE608363CD09727276733A Ссылки на объект Ссылка HKEY_USERS\S-1-5-21-4235267976-468952248-1436290218-1000\Software\Microsoft\Windows\CurrentVersion\Run\6m28ei1UERwiAk3q44ipcnsE 6m28ei1UERwiAk3q44ipcnsE "C:\Users\User\AppData\Roaming\Mozilla\Firefox\Crash Reports\regini.exe"

Цитата

Полное имя C:\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\CRASH REPORTS\REGINI.EXE
Имя файла REGINI.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Статус ВИРУС
Сигнатура Win32/Caphaw.A [глубина совпадения 64(64), необх. минимум 8, максимум 64]

Удовлетворяет критериям
CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id 527A279163000
Linker 8.0
Размер 405504 байт
Создан 14.07.2009 в 02:58:28
Изменен 14.07.2009 в 04:14:30
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя lexlse.exe
Версия файла 21, 16, 23, 1249
Версия продукта 23, 16, 23, 159
Описание gex ocx

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов
Путь до файла Не_типичен для этого файла [имя этого файла есть в известных]

Доп. информация на момент обновления списка
SHA1 D10EDEAD31FFC03AA257021ED2D4C40973FD86D1
MD5 05188C8462CE608363CD09727276733A

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-4235267976-468952248-1436290218-1000\Software\Microsoft\Windows\CurrentVersion\Run\6m28ei1UERwiAk3q44ipcnsE
6m28ei1UERwiAk3q44ipcnsE "C:\Users\User\AppData\Roaming\Mozilla\Firefox\Crash Reports\regini.exe"

http://forum.esetnod32.ru/forum6/topic10233/

[ Как создать образ автозапуска? ]

Сообщений: 17964

Баллов: 28741

Регистрация: 16.03.2010

Размещено 06.11.2013 20:01:50

вот как он умеет. мутирует от перезагрузки к перезагрузке

Цитата
Полное имя C:\USERS\USER\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\B6GUFRYT\GIGPORNO.COM\RECOVER.EXE Имя файла RECOVER.EXE Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске Статус ВИРУС Сигнатура Win32/Caphaw [глубина совпадения 64(64), необх. минимум 8, максимум 64] Удовлетворяет критериям CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске File_Id 5276372BBF000 Linker 8.0 Размер 372736 байт Создан 14.07.2009 в 02:15:17 Изменен 14.07.2009 в 04:14:30 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов Путь до файла Не_типичен для этого файла [имя этого файла есть в известных] Доп. информация на момент обновления списка SHA1 C19D85D1D893CC4C6DEBB9176543D9AF66C94C20 MD5 A8F5FFEF826866C78E4B65D49ED7D203 Ссылки на объект Ссылка HKEY_USERS\S-1-5-21-4235267976-468952248-1436290218-1000\Software\Microsoft\Windows\CurrentVersion\Run\7mW8eihUFRkiG1Pv5rg= 7mW8eihUFRkiG1Pv5rg= "C:\Users\User\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\B6GUFRYT\gigporno.com\recover.exe"

Цитата

Полное имя C:\USERS\USER\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\B6GUFRYT\GIGPORNO.COM\RECOVER.EXE
Имя файла RECOVER.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Статус ВИРУС
Сигнатура Win32/Caphaw [глубина совпадения 64(64), необх. минимум 8, максимум 64]

Удовлетворяет критериям
CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id 5276372BBF000
Linker 8.0
Размер 372736 байт
Создан 14.07.2009 в 02:15:17
Изменен 14.07.2009 в 04:14:30
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов
Путь до файла Не_типичен для этого файла [имя этого файла есть в известных]

Доп. информация на момент обновления списка
SHA1 C19D85D1D893CC4C6DEBB9176543D9AF66C94C20
MD5 A8F5FFEF826866C78E4B65D49ED7D203

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-4235267976-468952248-1436290218-1000\Software\Microsoft\Windows\CurrentVersion\Run\7mW8eihUFRkiG1Pv5rg=
7mW8eihUFRkiG1Pv5rg= "C:\Users\User\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\B6GUFRYT\gigporno.com\recover.exe"

[ Как создать образ автозапуска? ]

Сообщений: 17964

Баллов: 28741

Регистрация: 16.03.2010

Размещено 07.11.2013 06:00:03

RP55, ссылку на модуль rpcss.dll даем неправильную (64 битный модуль вместо 32 битного)
http://rghost.ru/44939613

здесь
http://forum.esetnod32.ru/forum6/topic10239/

------------
человек видимо по интуиции выбрал другой метод лечения.

Изменено: santy - 07.11.2013 10:16:02

[ Как создать образ автозапуска? ]

Сообщений: 17964

Баллов: 28741

Регистрация: 16.03.2010

Размещено 07.11.2013 21:06:49

здесь, adddir желательно отсюда брать

Цитата
%SystemDrive%\USERS\ОЛЕГ\APPDATA\ROAMING\

поскольку файлики Dorkbot могут сидеть в любом подкаталоге.
например здесь

Цитата
Обнаруженные файлы: 1 C:\Users\Олег\AppData\Roaming\ScreenSaverPro.scr (Worm.Dorkbot) -> Действие не было предпринято.

http://forum.esetnod32.ru/forum6/topic10240/

Изменено: santy - 07.11.2013 21:13:09

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 10.11.2013 19:50:39

Нашёл одну программку.

Получение информации по:
BHOs; Toolbars; Explorer Bars; Browser Helper Objects; ActiveX...
Получение информации по сетевым параметрам:Ссылки http, res в реестре.
Данные: hosts; LSP; Protocols
Генерация файла отчёта в: txt ли XML
Настройка параметров отчёта по типу получаемых данных.
Получение и сохранение в отчёте File MD5.
Получение данных по программам; процессам и т.д.
Справка: http://www.browsersentinel.com/ru/help/
Загрузка: http://www.browsersentinel.com/ru/download-browser-sentinel.htm
+
фото.

Прикрепленные файлы

111.jpg (83.54 КБ)

222.jpg (75.81 КБ)

Сообщений: 17964

Баллов: 28741

Регистрация: 16.03.2010

Размещено 10.11.2013 20:05:45

Лицензия: бесплатная в течение 30-дней
Работает на: Windows 98/ME/2000/XP/Server 2003

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 10.11.2013 20:46:48

Цитата
santy пишет: Работает на: Windows 98/ME/2000/XP/Server 2003

Сразу не посмотрел.
Но хоть на самой популярной в мире системе работает

Изменено: RP55 RP55 - 10.11.2013 20:47:36

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 21.11.2013 18:01:31

Santy
Команда ImgAutoDelMethod1=0
При значении = 0
при Alt+A
Нормально работает ?
У меня нет.

Сообщений: 17964

Баллов: 28741

Регистрация: 16.03.2010

Размещено 21.11.2013 19:49:54

честно говоря, при Абсолютном Нуле не проверял как отработает автоскрипт.

поскольку я использую методы 1-3. Возможно, demkd на будущее заложил эту оцифровку, чтобы можно было устанавливать вычисляемый метод в зависимости от каких то условий или критериев.

Цитата
o Новый параметр в settings.ini [Settings] ; Значение управляет методом удаления файлов со статусом "?ВИРУС?" в функции ; автоскрипта. ImgAutoDelMethod1 (по умолчанию 1) 0 - игнорировать 1 - применить delall 2 - применить delref 3 - применить delref+del

Изменено: santy - 21.11.2013 19:50:27

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 21.11.2013 21:44:23

http://forum.esetnod32.ru/forum6/topic10311/
http://forum.esetnod32.ru/messages/forum6/topic10302/message73683/#message73683

MFCMIFC.EXE

Пред. 1 ... 110 111 112 113 114 ... 167 След.