Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1443 1444 1445 1446 1447 1448 1449 1450 1451 1452 1453 ... 1784 След.
Нашествие Carberp напоминает прошлогоднюю атаку Spy.Shiz
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.11.2011 19:16:53
Win32/Carberp это семейство троянских программ, которые могут быть доставлены с помощью вредоносного кода, например, путем вариантов брешь в безопасности: JS / Blacole.Троян загружает другие Win32/Carberp компоненты для выполнения полезной нагрузки кодов, таких как кража банковских учетных данных онлайн и войдите в систему данные из множества других программных приложений, загрузки и выполнения произвольных файлов, экспорт установленных сертификатов, захват скриншотов и регистрация нажатий клавиш.
----------
Неплохое описание от Микрософт.
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Win32%2FCarberp
Изменено: santy - 14.11.2011 19:25:28
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус в памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.11.2011 18:25:54
хорошо,
выполните наши рекомендации по безопасной работе
http://forum.esetnod32.ru/forum9/topic751/
тему закрываю.
[ Как создать образ автозапуска? ]
Перейти
Нашествие Carberp напоминает прошлогоднюю атаку Spy.Shiz
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.11.2011 18:22:01
С чем связан такой всплеск активности Carberp и количество пропусков (или пост_детектов) ESET NOD32?
[ Как создать образ автозапуска? ]
Перейти
модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.11.2011 18:17:45
сделайте лог малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
Перейти
модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.11.2011 16:17:08
закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

Код

;uVS v3.72 BETA 3 script [http://dsrt.dyndns.org]

addsgn A7679B1BB9724F720B5F3BFD9B37ED8CB03A010976A9A7D985C3C597925FF460DDE83C01B7D0D1B7D47FD31613CEE08A7DDFE8075FE970A7D5FE196B3AF9DD8C 8 Win32/Kryptik.VHP [NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\DIM\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 8041BA6E00512EF7451ABD4CA98A18AB 162816
delall %SystemDrive%\DOCUMENTS AND SETTINGS\DIM\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
chklst
delvir
deltmp
delnfr
regt 5
regt 18
restart

перезагрузка, пишем о старых и новых проблемах.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус в оперативной памяти, модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.11.2011 19:30:28
наши рекомендации по безопасной работе в сети
http://forum.esetnod32.ru/forum9/topic751/
----
тема закрыта
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Оперативная память » explorer.exe(1776)модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.11.2011 18:48:19
закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

Код

;uVS v3.72 BETA 3 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ТАТЬЯНА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
addsgn A7679B1BB9924E720BE76E3AE9FCEDFADA0371CE7405E05344FEA1F950D6054410DE4A1A8ADCD8E1780D189E1FE549FAF054748655DA93E716BCD1584CD6A936 8 Multi.Generic [Kaspersky]

bl A49C6E9EB177E17DB7492728D52ACDF7 162816
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ТАТЬЯНА\APPLICATION DATA\NETPROTOCOL.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ТАТЬЯНА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
chklst
delvir
delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
delall %SystemDrive%\PROGRAM FILES\VPETS\VPETS.EXE
deltmp
delnfr
regt 5
regt 18
czoo
restart

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
--------------------
+ сделайте лог малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Метод поиска руктитов в системе по файлу сверки в uVS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.11.2011 14:18:45
если есть возможность работы из под Live.CD (WinPe&uVS), то выполните следующую процедуру поиска:

1. в активной (предположительно зараженной системе) создайте файл сверки автозапуска,
в режиме uVS - руткиты - создать файл сверки (1-2мин)


сохраните на флэшку, или в каталог на жестком диске.

2. загрузитесь с Live CD и выполните запуск uVS (например с флэшки),
см здесь
http://forum.esetnod32.ru/forum6/topic2102/
выберите в окне start.exe вашу систему с каталога жесткого диска
загрузите uVS и выполните функцию "поиск скрытых и измененных объектов по файлу сверки.



3. после завершения этого действия сохраните (новый) полный образ автозапуска,
и добавьте его на форум.
Изменено: santy - 10.04.2012 12:17:39
[ Как создать образ автозапуска? ]
Перейти
неизвестный руткит, разновидность TDL
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.11.2011 14:13:08
Цитата
tankisttt пишет:
как название руткита узнать?
создайте образ автозапуска из под WinPe методом сверки. если будет выявлен руткит, тогда можно будет говорить о его наименовании.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] explorer.exe(496) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.11.2011 14:08:18
тему закрываю.
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 1443 1444 1445 1446 1447 1448 1449 1450 1451 1452 1453 ... 1784 След.