Размещено 21.03.2012 23:15:03
так же выполните сканирование в малваребайт
| Цитата |
|---|
| pill72 пишет: программы продолжают закрываться |
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
[ Закрыто] Троян, Троян
[ Закрыто] оперативная память, вероятно модифицированный Win32/TrojanDownloader.Carberp.AD
поговорить о uVS, Carberp, планете Земля
Размещено 21.03.2012 22:34:29
просто тебе она_идея неинтересно, только и всего,
как мне неинтересна привязка скрипта к системным файлам и железу. простой пример: человек создал образ и привязал его к своему железу. обратился на форум получил скрипт. между тем как создал образ и получил скрипт - поменял видеокарту, добавил второй или третий жесткий диск и т.п.
-----------
скрипт не пошел из-за привязки, и кому это надо.
как мне неинтересна привязка скрипта к системным файлам и железу. простой пример: человек создал образ и привязал его к своему железу. обратился на форум получил скрипт. между тем как создал образ и получил скрипт - поменял видеокарту, добавил второй или третий жесткий диск и т.п.
-----------
скрипт не пошел из-за привязки, и кому это надо.
[ Закрыто] оперативная память, вероятно модифицированный Win32/TrojanDownloader.Carberp.AD
Размещено 21.03.2012 22:18:40
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем virus )
------------
далее,
сделайте дополнительно
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
| Код |
|---|
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\THEXX\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\3YY9PJVSM6C.EXE addsgn A7679BF0AA0268264BD4C6415A881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CBE3D9FE82BD6D7B0AC69775BACCA02A237 8 Backdoor.Win32.Gbot.wwz [Kaspersky] addsgn 4ACD539A553FC79E8838BE3071B42B452540D0F6895BD7CBC5C344B9586A314C6BAC8357C16041FE6B8005925EAA09FAC379A872C75BB5968B37A4916146228C 64 tr.winsock zoo %SystemDrive%\PROGRAMDATA\DNG.DLL delall %SystemDrive%\USERS\THEXX\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\3YY9PJVSM6C.EXE delall %SystemDrive%\PROGRAMDATA\DNG.DLL chklst delvir delall %SystemDrive%\PROGRAM FILES\YAHOO!\WIDGETS\YAHOOWIDGETS.EXE deltmp delnfr regt 14 EXEC cmd /c"netsh winsock reset catalog" restart |
перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем virus )
------------
далее,
сделайте дополнительно
[ Закрыто] Оперативная память » explorer.exe(1900), вероятно модифицированный Win32/TrojanDownloader.Carberp.AD
Размещено 21.03.2012 22:09:30
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем virus )
------------
далее,
сделайте дополнительно
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
| Код |
|---|
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 addsgn A7679BF0AA0268264BD4C6415A881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CBE3D9FE82BD6D7B0AC69775BACCA02A237 8 Backdoor.Win32.Gbot.wwz [Kaspersky] zoo %SystemDrive%\USERS\DNZ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DXFRRZRPYJM.EXE bl 79288DC84A2A5E6575361AB077C79DB6 169472 delall %SystemDrive%\USERS\DNZ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DXFRRZRPYJM.EXE chklst delvir delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU deltmp delnfr restart |
перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем virus )
------------
далее,
сделайте дополнительно
[ Закрыто] Троян, Троян
Размещено 21.03.2012 22:05:28
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем virus )
------------
далее,
сделайте дополнительно
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
| Код |
|---|
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.0 delall %SystemDrive%\USERS\MATROS\APPDATA\LOCAL\TEMP\MS0CFG32.EXE delall %SystemDrive%\USERS\MATROS\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\0EYWXXR6\QIP8070[1].EXE addsgn A7679BF0AA0268F64BD4C62103881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CDA0D9FE82BD6D7B02C6B775BACCA022235 8 SpyEye zoo %SystemDrive%\RECYCLE.BIN\B6232F3ACD4.EXE bl 964422A4EBF9AFC1035DEF61C7BEFCE6 186368 delall %SystemDrive%\RECYCLE.BIN\B6232F3ACD4.EXE chklst delvir deltmp delnfr regt 5 restart |
перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем virus )
------------
далее,
сделайте дополнительно
поговорить о uVS, Carberp, планете Земля
Размещено 21.03.2012 21:01:10
смысл станет понятен позже, когда можно будет технически решить проблему подписания консольными командами с помощью портабельного ядра.
дело не в том, что надо предложить что-то простое и легкое в исполнении, а в том - чтобы технически разрешить проблему подписания буфера обмена и проверки подписанного скрипта.
-----------
шифровать скрипт от кого-то - лично меня это не интересует.
а вот подписание документа - это применяется везде. это обычная практика в человеческой деятельности. и когда ты смотришь подписанный документ: печать есть, подпись знакомая - ты говоришь себе - да, я доверяю этому документу. не потому что он на 10 раз кем то пошифрован, а стало быть и защищен от изменений, а потому что ты знаешь, кто этот док выпустил и подписал.
------
по поводу привязки скрипта к конкретной машине на которой он исполняется - это как раз ерунда (ERUNT/да). не буду писать об этом в топике АМ, напишу здесь.
во-первых может быть создано масса универсальных скриптов, применимых к самым разным типовым проблемам. (помнится, даже RP55 предлагал написать библиотеку универсальных скриптов и добавить универсальные скрипты в uVS)
во-вторых, грамотный юзер может адаптировать скрипт к своей проблеме;
в третьих, эта адаптация не отменяет идею подписанного скрипта, подпись лишь говорит о том, что скрипт выпущен кем-то, кто имеет свою подпись на том, или ином форуме.
-----------
плюс подписанного скрипта еще и в том, что uVS может определить кем подписан, а значит и создан скрипт, были ли он исправлен (поскольку хэш документа добавляется к подписи).
uVS может всю эту инфо записать в лог выполнения скрипта.
и после запроса логов выполнения - уже можно будет иметь представление.... что именно юзер использовал для лечения системы.
дело не в том, что надо предложить что-то простое и легкое в исполнении, а в том - чтобы технически разрешить проблему подписания буфера обмена и проверки подписанного скрипта.
-----------
шифровать скрипт от кого-то - лично меня это не интересует.
а вот подписание документа - это применяется везде. это обычная практика в человеческой деятельности. и когда ты смотришь подписанный документ: печать есть, подпись знакомая - ты говоришь себе - да, я доверяю этому документу. не потому что он на 10 раз кем то пошифрован, а стало быть и защищен от изменений, а потому что ты знаешь, кто этот док выпустил и подписал.
------
по поводу привязки скрипта к конкретной машине на которой он исполняется - это как раз ерунда (ERUNT/да). не буду писать об этом в топике АМ, напишу здесь.
во-первых может быть создано масса универсальных скриптов, применимых к самым разным типовым проблемам. (помнится, даже RP55 предлагал написать библиотеку универсальных скриптов и добавить универсальные скрипты в uVS)
во-вторых, грамотный юзер может адаптировать скрипт к своей проблеме;
в третьих, эта адаптация не отменяет идею подписанного скрипта, подпись лишь говорит о том, что скрипт выпущен кем-то, кто имеет свою подпись на том, или ином форуме.
-----------
плюс подписанного скрипта еще и в том, что uVS может определить кем подписан, а значит и создан скрипт, были ли он исправлен (поскольку хэш документа добавляется к подписи).
uVS может всю эту инфо записать в лог выполнения скрипта.
и после запроса логов выполнения - уже можно будет иметь представление.... что именно юзер использовал для лечения системы.
Изменено: santy - 22.03.2012 11:09:23
поговорить о uVS, Carberp, планете Земля
Размещено 21.03.2012 20:12:49
| Цитата |
|---|
| RP55 RP55 пишет: Но зато никто на форуме его больше не выполнит 1 В общем красота ! |
(с), А.Свиридова.
---------
смысл подписи документа в том, что он подписывается специалистом, который подтверждает своей (цифровой) подписью (и она может быть проверена однозначно), что скрипт как документ действителен для исполнения.
[ Закрыто] Оперативная память » explorer.exe(1460) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна, Какая-то гадость в оперативке.
ВИРУС