RP55 RP55 (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

поговорить о uVS, Carberp, планете Земля

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 24.03.2012 15:02:19

Цитата
santy пишет: блок поисковых критериев применяется только к образу или списку автозапуска, на поиск вредоносов в реестре или на диске в момент создания образа он не влияет.

А, если так сделать чтобы влиял ?
т.е.:

Цитата
RP55 RP55 пишет: Предложение/идея. Происходит добавление файлов через ADDDIR и далее фильтрация по поисковым критериям. Но ! В образ добавятся не вся информация "Добавлены в ручную "- а только те, объекты, что попали под определение поискового критерия. т.е. Своего рода Эвристическая проверка системы/списка. + В комплексе - проходит Проверка реестра.

Цитата

RP55 RP55 пишет:
Предложение/идея. Происходит добавление файлов через ADDDIR и далее фильтрация по поисковым критериям. Но ! В образ добавятся не вся информация "Добавлены в ручную "- а только те, объекты, что попали под определение поискового критерия. т.е. Своего рода Эвристическая проверка системы/списка. + В комплексе - проходит Проверка реестра.

По типу эвристика в AVZ.

Перейти

ПОЖАЛУЙСТА ПОМОГИТЕ!!!! Оперативная память » explorer.exe(260) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна, ПОЖАЛУЙСТА ПОМОГИТЕ!!!! Оперативная память » explorer.exe(260) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 24.03.2012 14:55:46

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
На Вопросы программы говорим Да !

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 uidel MSIEXEC.EXE /I{86D4B82A-ABED-442A-BE86-96357B70F4FE} delref HTTP://SEARCH.QIP.RU zoo %SystemDrive%\USERS\БОРИС\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\CD1F2PVVRXI.EXE bl 3FE290339B692BDB6583F3D1B5665474 194560 addsgn A7679BF0AA0268264BD4C67156881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CAE3D9FE82BD6D7B0AC69775BACCA02A237 8 Carb.379 delall %SystemDrive%\USERS\БОРИС\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\CD1F2PVVRXI.EXE chklst delvir deltmp delnfr czoo restart

Код

 

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

uidel MSIEXEC.EXE /I{86D4B82A-ABED-442A-BE86-96357B70F4FE}
delref HTTP://SEARCH.QIP.RU
zoo %SystemDrive%\USERS\БОРИС\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\CD1F2PVVRXI.EXE
bl 3FE290339B692BDB6583F3D1B5665474 194560
addsgn A7679BF0AA0268264BD4C67156881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CAE3D9FE82BD6D7B0AC69775BACCA02A237 8 Carb.379

delall %SystemDrive%\USERS\БОРИС\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\CD1F2PVVRXI.EXE
chklst
delvir
deltmp
delnfr
czoo
restart

Архив из папки uVS (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: 2010-10-04_13-30-55.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
+
Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 24.03.2012 14:40:15

Цитата
santy пишет: каким образом этот критерий сработает если данный вариант не попадает в образ?

Просто для удобства работы.
Да и .exe / может иметь место при обнаружении других угроз.

Теоретический вопрос.
Может ли повлиять наличие блока поисковых критериев "snms" на обнаружение ?
Вроде и нет...
Или всё таки это возможно ?
---------------
Или так:
Новое предложение/идея.
Происходит добавление файлов через ADDDIR и далее фильтрация по поисковым критериям.
Но !
В образ добавятся не вся информация "Добавлены в ручную "- а только те, объекты, что попали под определение поискового критерия.
т.е. Своего рода Эвристическая проверка системы/списка.
+
В комплексе - проходит Проверка реестра.

Изменено: RP55 RP55 - 24.03.2012 14:43:13

Перейти

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 24.03.2012 14:29:10

Volksik
Все скрипты индивидуальны !

Создайте лог в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 24.03.2012 14:23:15

Можно создать критерий поиска для Win32/Spy.SpyEye.CA.На базе:
Содержит: .exe /q
Или так: .exe /

Дмитрий уже в курсе ситуации ?
То, Carbepr прятался в безопасном искали, теперь Spy.SpyEye.CA прячется.
Кто следующий ?
Да и процесс лечения затягивается.

Перейти

Невозможно обновить базу.., Ошибка распаковки файлов

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 23.03.2012 21:42:22

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RETRTKM9CLA.EXE bl 9437ED606EA772B813ECC1673D3E66A0 400408 delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RETRTKM9CLA.EXE zoo %SystemDrive%\TEMP\____991.EXE delall %SystemDrive%\TEMP\____991.EXE delref HTTP://TOPHITS.WS/ delref HTTP://SIGNUP.WAZZUB.INFO/?LRREF=31998 delref HTTP://WWW.EBESUCHER.DE/SURFBAR/REXUS delref HTTPS://MAIL.GOOGLE.COM/MAIL/?HL=RU&SHVA=1#INBOX delref HTTP://WWW.MICROSOFT.COM/ISAPI/REDIR.DLL?PRD=IE&AR=IESEARCH regt 14 deltmp delnfr czoo restart

Код

 
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RETRTKM9CLA.EXE
bl 9437ED606EA772B813ECC1673D3E66A0 400408
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RETRTKM9CLA.EXE
zoo %SystemDrive%\TEMP\____991.EXE
delall %SystemDrive%\TEMP\____991.EXE
delref HTTP://TOPHITS.WS/
delref HTTP://SIGNUP.WAZZUB.INFO/?LRREF=31998
delref HTTP://WWW.EBESUCHER.DE/SURFBAR/REXUS
delref HTTPS://MAIL.GOOGLE.COM/MAIL/?HL=RU&SHVA=1#INBOX
delref HTTP://WWW.MICROSOFT.COM/ISAPI/REDIR.DLL?PRD=IE&AR=IESEARCH
regt 14
deltmp
delnfr
czoo
restart

Перейти

ZloyDi, с днем рождения!

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 23.03.2012 17:08:04

С ДНЁМ РОЖДЕНИЯ !

Перейти

[ Закрыто] explorer.exe 1424

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 23.03.2012 16:49:36

Создайте лог в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 21.03.2012 22:29:53

Да !
uVS Может просто создать файл/идентификатор - и сохранить его на HDD.
И всё...

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 21.03.2012 22:26:42

Цитата
santy пишет: Грамотный юзер может адаптировать скрипт к своей проблеме.

В том и дело, что грамотный - сам решит проблему.
Или обратиться за помощью - понимая, что некорректное лечение способно вызвать отказ системы.
Предложение по Идентификатору система <-> скрипт.
Позволит, его выполнить - только человеку имеющему некоторые представления по данному вопросу.
Кроме того идентификатор может иметь доп.параметр/ы например sha1 - одного из системных файлов.
+ производитель видео карты.
Или ряд других "постоянных" значеий/параметров.
----------
Идея о подписи...
Идея живёт - тогда когда она востребована !
И кем, она востребована ?

Перейти