поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 90 91 92 93 94 ... 167 След.

Сообщений: 17970

Баллов: 28751

Регистрация: 16.03.2010

Размещено 18.01.2013 22:12:03

pe4 + uVS 3.77.5

Цитата
+128mb к свободному месту на системном диске и таки добавил pagefile, чтоб снизить требования к памяти, дополнительно в 3.77.5 встроена функция удаления pagefile-а при первой загрузке проверенной системы, в комплекте актуальная база проверенных файлов 700k+ хэшей smile.gif отдельно базу выложу на выходных, когда добавлю в нее остатки файлов. Теперь проблем с проверкой эцп в pe4 быть не должно для всех версий неактивных систем и если проблем действительно не будет то функция создания образов загрузочных дисков в uVS будет обновлена в след. версии для совместимости с пакетом Windows ADK.

Цитата

+128mb к свободному месту на системном диске и таки добавил pagefile, чтоб снизить требования к памяти, дополнительно в 3.77.5 встроена функция удаления pagefile-а при первой загрузке проверенной системы, в комплекте актуальная база проверенных файлов 700k+ хэшей smile.gif
отдельно базу выложу на выходных, когда добавлю в нее остатки файлов.

Теперь проблем с проверкой эцп в pe4 быть не должно для всех версий неактивных систем и если проблем действительно не будет то функция создания образов загрузочных дисков в uVS будет обновлена в след. версии для совместимости с пакетом Windows ADK.

http://www.anti-malware.ru/forum/index.php?showtopic=19126&view=findpost&p=165997

[ Как создать образ автозапуска? ]

Сообщений: 17970

Баллов: 28751

Регистрация: 16.03.2010

Размещено 19.01.2013 20:15:02

uVS 3.77.5

[ Как создать образ автозапуска? ]

Сообщений: 17970

Баллов: 28751

Регистрация: 16.03.2010

Размещено 20.01.2013 19:08:54

.
uVS оперативно проверяет цифровые подписи в Win8.

Цитата
Полное имя C:\WINDOWS\SYSTEM32\SECHOST.DLL Имя файла SECHOST.DLL Тек. статус ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске Сохраненная информация на момент создания образа Статус ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске Размер 279040 байт Создан 26.07.2012 в 09:26:48 Изменен 26.07.2012 в 09:26:48 Тип файла 64-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Действительна, подписано Microsoft Windows Оригинальное имя sechost.dll.mui Версия файла 6.2.9200.16384 (win8_rtm.120725-1247) Описание Host for SCM/SDDL/LSA Lookup APIs Производитель Microsoft Corporation Доп. информация на момент обновления списка SHA1 49D66CAAB34B6ACAF49F7A037BF1332DF83F2E74 MD5 85B5B3797315F714A62AC986FFB2B17E Ссылки на объект Ссылка HKLM\System\CurrentControlSet\Control\Session Manager\KnownDLLs\sechost sechost sechost.dll

Цитата

Полное имя C:\WINDOWS\SYSTEM32\SECHOST.DLL
Имя файла SECHOST.DLL
Тек. статус ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске

Сохраненная информация на момент создания образа
Статус ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
Размер 279040 байт
Создан 26.07.2012 в 09:26:48
Изменен 26.07.2012 в 09:26:48
Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано Microsoft Windows

Оригинальное имя sechost.dll.mui
Версия файла 6.2.9200.16384 (win8_rtm.120725-1247)
Описание Host for SCM/SDDL/LSA Lookup APIs
Производитель Microsoft Corporation

Доп. информация на момент обновления списка
SHA1 49D66CAAB34B6ACAF49F7A037BF1332DF83F2E74
MD5 85B5B3797315F714A62AC986FFB2B17E

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Control\Session Manager\KnownDLLs\sechost
sechost sechost.dll

в ESI
"sechost" = "sechost.dll" ( 6: Неизвестно ) ; Host for SCM/SDDL/LSA Lookup APIs ; Microsoft Corporation ;

http://forum.esetnod32.ru/forum4/topic8451/

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 24.01.2013 16:34:15

http://forum.esetnod32.ru/forum6/topic8488/

HТТP://TMG.DVALLIANCE.RU:8080/ARRAY.DLL?GET.ROUTING.SCRIPT

AutoConfigURL

Изменено: RP55 RP55 - 24.01.2013 16:34:46

Сообщений: 17970

Баллов: 28751

Регистрация: 16.03.2010

Размещено 24.01.2013 18:53:20

не факт что это троянский скрипт, у человека установлен TMG клиент.

Цитата
Полное имя C:\PROGRAM FILES (X86)\FOREFRONT TMG CLIENT\FWCAGENT.EXE Имя файла FWCAGENT.EXE Тек. статус АКТИВНЫЙ ПРОВЕРЕННЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ПРОВЕРЕННЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] Процесс 32-х битный Размер 275424 байт Создан 16.11.2009 в 15:54:36 Изменен 16.11.2009 в 15:54:36 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Действительна, подписано Microsoft Corporation Оригинальное имя FwcAgent.exe Версия файла 7.0 Описание Forefront TMG Client Agent Производитель Microsoft ® Corporation

Цитата

Полное имя C:\PROGRAM FILES (X86)\FOREFRONT TMG CLIENT\FWCAGENT.EXE
Имя файла FWCAGENT.EXE
Тек. статус АКТИВНЫЙ ПРОВЕРЕННЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ПРОВЕРЕННЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
Процесс 32-х битный
Размер 275424 байт
Создан 16.11.2009 в 15:54:36
Изменен 16.11.2009 в 15:54:36
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано Microsoft Corporation

Оригинальное имя FwcAgent.exe
Версия файла 7.0
Описание Forefront TMG Client Agent
Производитель Microsoft ® Corporation

[ Как создать образ автозапуска? ]

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 26.01.2013 16:23:36

На интересное расширение вирус сменил свой драйвер:)
http://forum.esetnod32.ru/forum6/topic8524/

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 26.01.2013 16:33:22

Арвид
Тоже обратил внимание.
Опять какая нибудь дверь в системе ?

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 26.01.2013 16:36:30

может просто стебаются или пытаюсь обойти какой нибудь сканер. черт их знает.

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17970

Баллов: 28751

Регистрация: 16.03.2010

Размещено 26.01.2013 16:41:27

+ левый DNS проверьте
http://www.nic.ru/whois/?query=80.82.209.180

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 26.01.2013 16:42:15

И DNS там ещё.

Пред. 1 ... 90 91 92 93 94 ... 167 След.