Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи nWc
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 2 3 4 5 6 7 8 9 10 11 12 След.
Trojan.Winlock - 5416
 
nWc
nWc
Пользователь
Сообщений: 121
Баллов: 96
Регистрация: 15.12.2011
Размещено 12.04.2012 12:19:45
Цитата
RP55 RP55 пишет:
Новинка.



Drweb

Trojan.Winlock.5729

news.drweb.com/?i=2286&c=5&lng=ru&p=0



Модификация файла iogonui.exe

iogonui.exe - представляет собой настоящий аутентичный файл  из комплекта поставки Windows XP, в котором с помощью редактора ресурсов была изменена стандартная строка приветствия Windows на требование отправить платное СМС-сообщение.



Особенность этой программы-вымогателя заключается в том, что она блокирует операционную систему, используя штатные средства Windows, путем изменения пароля локальных пользователей.
А если просто изменить пароль с помощью подмены copy d:\windows\system32\cmd.exe d:\windows\system32\sethc.exe и вызова путем залипания командной строке на фоне этого баннера и далее ввести новый пароль net user имя_пользователя новый_пароль и тут же зайти под ним
Изменено: nWc - 12.04.2012 13:00:45
Перейти
winsock reset catalog, RP55 RP55
 
nWc
nWc
Пользователь
Сообщений: 121
Баллов: 96
Регистрация: 15.12.2011
Размещено 12.04.2012 12:15:29
За что отвечает команды " fixvbr C: 5 "  " fixvbr C: 6 ?
Перейти
winsock reset catalog, RP55 RP55
 
nWc
nWc
Пользователь
Сообщений: 121
Баллов: 96
Регистрация: 15.12.2011
Размещено 12.04.2012 11:47:23
А можно уточнить
1) exec cmd /k attrib -r -s -h "%appdata%\igfxtray.dat"&del "%appdata%\igfxtray.dat"&exit
2) exec cmd /k del "%windir%\system32\ieunitdrf.inf"&exit ( пример Арвида )

------------------------
3) EXEC cmd /c"netsh winsock reset catalog"  сброс сетевых настроек, зачастую кстати наблюдал каритку пинг есть, аська пашет, а доступ к сайтам нету, хотя ни прокси нету , да и host нормальный. Поможет ли решить эту ситуацию? Или если такое происходит это вирус и если и решит проблему то чисто теоретически на время? Или уже просто искать проблему в DNS? Или просто глюк винды обычно ?*
4) exec cmd /c "ipconfig /flushdns"    очистка кэша DNS

Почему необходимо удалять igfxtray.dat и ieunitdrf.inf? Разве это не драйвер от интеловских встроенных карт и информация о драйвере в *.inf?
Изменено: nWc - 12.04.2012 12:38:25
Перейти
winsock reset catalog, RP55 RP55
 
nWc
nWc
Пользователь
Сообщений: 121
Баллов: 96
Регистрация: 15.12.2011
Размещено 12.04.2012 11:46:20
№7

Удаление через delall приводит в необходимости восстановить winsock.
можно еще попробовать вызвать в скрипте

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

EXEC cmd /c"netsh winsock reset catalog"
restart

----------------------------------------
exec cmd /k attrib -r -s -h "%appdata%\igfxtray.dat"&del "%appdata%\igfxtray.dat"&exit
exec cmd /k del "%windir%\system32\ieunitdrf.inf"&exit  ( пример Арвида )

------------------------
EXEC cmd /c"netsh winsock reset catalog"
exec cmd /c "ipconfig /flushdns"


===========
В каком случае необходимо это проводить? Когда по типу нету инета и надо востановить значение по умолчанию? Файлы igfxtray.dat ieunitdrf.inf относятся к carbery ?
Изменено: nWc - 12.04.2012 11:53:08
Перейти
ошибка в игре AION
 
nWc
nWc
Пользователь
Сообщений: 121
Баллов: 96
Регистрация: 15.12.2011
Размещено 11.04.2012 17:01:46
Может по делу=) Фрост также стоит на Айоне от 4game? Там ничего не сказано на форуме у них? помню конфликтовал с многими антивирусными продуктами, список большой там есть.
Изменено: nWc - 11.04.2012 17:02:02
Перейти
поговорить о uVS, Carberp, планете Земля
 
nWc
nWc
Пользователь
Сообщений: 121
Баллов: 96
Регистрация: 15.12.2011
Размещено 11.04.2012 14:06:17
Цитата
RP55 RP55 пишет:
Цитата
nWc пишет:

чудо

Это чудо "Delite" на Клавиатуре.

Выбрать > Нажать.

У меня уроки по uVS есть - Только мне их всё  лень  в PDF - оформить для наглядности.  
можно в любом виде, я не придирчивый :) Буду благодарен
Насче delete, к примеру  exec MSIEXEC.EXE /I{86D4B82A-ABED-442A-BE86-96357B70F4FE}

вот это откуда ?)  {86D4B82A-ABED-442A-BE86-96357B70F4FE}
Изменено: nWc - 11.04.2012 14:07:31
Перейти
поговорить о uVS, Carberp, планете Земля
 
nWc
nWc
Пользователь
Сообщений: 121
Баллов: 96
Регистрация: 15.12.2011
Размещено 11.04.2012 13:59:13
Смотрю, тока в силу неопытности пока тяжело понимать разные разновидности вирусов и методы борьбы. Зачастую вижу, что - постоянно удалются левые ссылки на qip, mail и агенты, qip guard, vsplayer , все toolbari, pretarian из за проблем с host. Не особо понял как в скрипте писать, чтобы удалить именно тот или иной продукт через exec в конце идет идентификатор программы в скобках, откуда сие чудо взять?

Есть же какой то алгоритм проверки ?
Изменено: nWc - 11.04.2012 14:03:30
Перейти
поговорить о uVS, Carberp, планете Земля
 
nWc
nWc
Пользователь
Сообщений: 121
Баллов: 96
Регистрация: 15.12.2011
Размещено 11.04.2012 12:21:10
(UVS)
Кстати , а есть где
Примеры написания скриптов для разных видов вирусов?
Примеры того как поступать в разных случаях?
Перейти
ошибка в игре AION
 
nWc
nWc
Пользователь
Сообщений: 121
Баллов: 96
Регистрация: 15.12.2011
Размещено 11.04.2012 10:40:33
бесплатного точно никакого=)
Перейти
Сервер 2003 Тормазит, Нет в трее значка NOD32 но служба запущена., Сервер с лицензией, которая не работает, есть 100% уверенность что его ломали хакеры.
 
nWc
nWc
Пользователь
Сообщений: 121
Баллов: 96
Регистрация: 15.12.2011
Размещено 06.04.2012 13:18:23
Оки=) с проблемой уже этой почти разобрались) К нему удаленно залезли, осталось rdp порт сменить и перекрыть доступ левым акк-там, которые были созданы для rdp подключения. Ну и пароль от админа сменить. Вот и все. А то смотрю аська и опера стоит на сервере  ( что уже бредово) судя по логам uvs =)

Осталось вирус найти)))))
Изменено: nWc - 06.04.2012 15:05:49
Перейти
Пред. 1 2 3 4 5 6 7 8 9 10 11 12 След.