поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

да, не мешает зачистить, хоть и не в автозапуске.

Цитата
2013-12-26 [2013-12-18 05:34:41 UTC ( 1 week, 2 days ago )]
Trojan.Win32.Agent.adptx
http://forum.esetnod32.ru/forum6/topic10422/

Имя файла                   WININET.DLL

Ссылка                      HKLM\ruqhbnwvj\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigProxy
AutoConfigProxy             wininet.dll
Zloydi, здесь аналогичная проблема с wmic.exe
http://www.adminplanet.ru/t9539.html

добавь себе критерий,
(ЗНАЧЕНИЕ ~ SETDNSSERVER)(1)
проблемы не возникло с восстановлением доступа к рабочему столу при лечении MBRLock.17
https://www.virustotal.com/ru/file/eb20f4ed5df58c918dd8f4ee873e0849ff1f43d5a48c8953­d62e0abadcf14b55/analysis/1389847113/

1. восстанавливаем таблицу разделов в testdisk из под Winpe
2. перезаписываем MBR через функцию uVS
Изменено: santy - 16.01.2014 08:56:07
Цитата
santy пишет:
проблемы не возникло с восстановлением доступа к рабочему столу при лечении MBRLock.17
А, как насчёт AntiSMS.4.2 ? Лечит ?
Цитата
А, как насчёт AntiSMS.4.2 ? Лечит ?
установщик разовый (или с ограничением запуска по времени), не запустился на другой ВМ. надо было откатывать время на целевой системе.
Изменено: santy - 17.01.2014 19:48:07
Пусть тут покажет скриншот установленных расширений: http://forum.esetnod32.ru/forum6/topic10467/?PAGEN_1=3
Может какой-то дополнение вещает рекламу.
всем привет, не знаю "боян" ли, но вот что я только что задетектил у юзера:

https://www.virustotal.com/ru/file/903f8e191b638ba608e4286f6a6905daba9a403b2e127b37­efa1e2eb788aa41c/analysis/1390733179/
https://www.virustotal.com/ru/file/4ffdc458321d9374bd46b659ba0fb3de6e2f1eafb00a4a5a­728996aa4e37ffe7/analysis/1390733181/

собственно опять авторан через шедулер (видимо сейчас это модно)

C:\Users\Alex\AppData\Roaming\Malwarebytes\chrome.exe" --scrypt -o stratum+tcp://37.1.219.68:9007 -u strizon.2 -p x -w 256 -I 11

образ машины


конфиг майнера, если кому интересно
Изменено: g0dl1ke - 26.01.2014 14:54:32
Угу.
Упакован  UPX
http://ru.wikipedia.org/wiki/UPX
И кстати говоря у него нет ресурсов :)
Оригинал: https://www.virustotal.com/ru/file/609f284e45032ec394479e30933959e10494d2d3c7da734d­4a2e89238172bbaf/analysis/
Цитата
g0dl1ke пишет:
всем привет, не знаю "боян" ли, но вот что я только что задетектил у юзера:
...
самое интересное, что когда добавил в базу по хешу и обновил - вылезло еще 100500 якобы таких же (совпадающих по хешу) файлов, но которые 100% не заражены/не вредоносные/не опасны

о каком хэше и от какого файла идет речь? если речь о сигнатуре файла левого chrome.exe, то никаких ложняков нет.
Изменено: santy - 26.01.2014 17:13:19
Читают тему (гостей: 2)