Перейти к содержанию
Евгений Красильников

Очистка пользовательских временных каталогов

Recommended Posts

Angel-iz-Ada

сейчас как вариант лечения можно использовать команду удаления ветки через exec

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Angel-iz-Ada

уже не надо 3.81 доступен для обновления, там все есть ;)

на сайте к вечеру наверное обновлю, конечно если успею собрать все пакеты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Образец с реальной/проблемной машины.

Экспорт IP-Politic.rar

forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=92900&action=download

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Чувство гордости.

Охватывает, охватывает, охватывает.

Не оскудевает земля талантами !

И видимо охватить не может ...

------

Win32/Injector.ANJN троянская программа ( Eset )

------

HOME-55B1944CA3

2013-10-04 21:48

Полное имя C:\DOCUMENTS AND SETTINGS\KROZ\LMECCWOB.EXE

Имя файла LMECCWOB.EXE

Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

File_Id 5242AB0326000

Linker

РАЗМЕР 47968256 байт

Создан 25.09.2013 в 20:13:02

Изменен 25.09.2013 в 20:13:09

Атрибуты СКРЫТЫЙ

Тип файла 32-х битный ИСПОЛНЯЕМЫЙ

Цифр. подпись проверка не производилась

Оригинальное имя II.exe

Версия файла 33.00.0725

Описание aaaaaaaaaaaaaaaaaaaaaaaaa

Продукт eeeeeeerererere

Copyright ssasasas

Производитель CamStudio Group

Комментарий aaaaaaaaaaaaaa

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Атрибут файла "Скрытый" или "Системный" [типично для вирусов]

Путь до файла Типичен для вирусов и троянов

Ссылки на объект

Ссылка HKEY_USERS\S-1-5-21-1708537768-1580818891-1606980848-1004\Software\Microsoft\Windows\CurrentVersion\Run\MSConfig

MSConfig "C:\Documents and Settings\kroz\lmeccwob.exe"

rghost.ru/

49148764

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Интересная тема.

Похоже новый зверь.

http://forum.esetnod32.ru/forum6/topic10334/

Интересный момент.

C:\USERS\TECHNO\APPDATA\ROAMING\MOZILLA\FIREFOX\FIREFOX.EXE

C:\PROGRAM FILES\ADOBE\READER 9.0\RESOURCE\FONT\PFM\BELKINWCUI.EXE

C:\PROGRAM FILES\BLUETOOTH SUITE\DA-DK\IGFXPERS.EXE

C:\PROGRAM FILES\CONEXANT\ROLLBACK\OEM8.INF\BINGDESKTOP.EXE

C:\PROGRAM FILES\CONEXANT\SAII\LT-LT\RDPCLIP.EXE

Эти и другие файлы ...

SHA 1 - у всех файлов разные

А Вот File_Id ; 4F25BAECAE000

И сигнатура подходит.

addsgn 1AFAE79A5583C58CF42B627DA804DE50AE66ABA0028F13F3C8D34EC1585DB0C7F214056CC0239572

D38F063F4716497B845FE87255A8ACAF10533365C7065660 8 Rand.exe.Vir

Одинаково.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

PR55.RP55

да, похоже файл один и тот же, просто в себе видать что-то хранит или просто мусором добивает до фикс. размера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В общем новый вирус.

С маскировкой под системный ( типа Windows Backup Service ) :blink:

Полное имя C:\USERS\***\APPDATA\LOCAL\MICROSOFT\WINDOWS\WIND OWS RECOVERY ENVIRONMENT\SDRSVC.EXE

Сохраненная информация на момент создания образа

Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

File_Id 490C4B3162000

Linker 10.0

Размер 388096 байт

Создан 01.11.2013 в 00:20:38

Изменен 01.11.2013 в 00:23:12

Тип файла 32-х битный ИСПОЛНЯЕМЫЙ

Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя SDRSVC.DLL

Версия файла 5.1.2600.1106 (xpsp.080413-2105)

Версия продукта 5.1.2600.1106

Описание Microsoft® Windows Backup Service

Производитель Microsoft Corporation

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Путь до файла Типичен для вирусов и троянов

Доп. информация на момент обновления списка

SHA1 78CBF6AB404DEB7364CFA57E7136AF284498F1BF

MD5 C4810CEEFBE04C6A6BB0124799D89248

Ссылки на объект

Ссылка C:\WINDOWS\TASKS\WINDOWS BACKUP AND RESTORE CENTER.JOB

Значение C:\Users\Рома\AppData\Local\Microsoft\Windows\Wind ows Recovery Environment\SDRSVC.exe

Ссылка C:\WINDOWS\SYSTEM32\TASKS\WINDOWS BACKUP AND RESTORE CENTER

Устанавливается на разных системах.

На Windows 7 - например так и будет, что: ( Версия продукта 5.1.2600.1106 ) :)

https://www.virustotal.com/ru/file/a96fd883...d5070/analysis/

Распространяется с K-Lite Mega Codec Pack.10.1.0.0.exe SHA1 = ( 6D41AFD8D6A6B4FBBC5BD9DD10513973446E2C3D )

Причём видимо с оф.сайта. ( у меня есть )

SDRSVC.exe

rghost.ru/50713896

Что особо хорошо: SDRSVC .EXE = Оригинальное имя SDRSVC .DLL

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Для желающих.

Обновление к основной базе проверенных файлов от RP55 RP55

http://forum.esetnod32.ru/messages/forum8/...1/#message12011

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Предлагаю всем желающим найти _ВСЕ_ вирусы.

Образ в теме.

Задача очень сложная !

Проверять нужно очень внимательно.

Кто сможет ? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Аркалык

PR55.RP55

Скрипт будет таким:

;uVS v3.81.7 [http://dsrt.dyndns.org];Target OS: NTv5.2OFFSGNSAVEaddsgn A7679BF0AA02D4E64BD4C6D126881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CF2EF9FE82BD6D790E66D775BACCA22E833 8 Virus.Xzoo %Sys32%\XAFTWA.EXEbl 8725E505A6A2199B11BB4DCE9E5AD84C 49664addsgn 4ABC27D9553A288D3ED4AEB164AC9B20258AFCF6BA3A9670D58686D33DA6102F5725C3D8A6447F7971E2CB91697CFA608D5A897678F0E4089B04F1FFC2E415A9 8 Win32/Agent.QCV [ESET]bl FE845C76FCCEBF17EAC1A6C569F0939E 61952addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6014F23947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 8 Win32/Farfli.ACU [ESET]bl 05282BB47DABA965DB721B87924958DD 116736addsgn 9252773A156AC1CC0BA4514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 16 a variant of Win32/Kryptik.AAMY [NOD32]bl 6633FEE8FB1D6ED09A860AE710405C5B 20480addsgn A7679BF0AA02D4794AD4C63DD5881261848AFCF689AA7BF1A0C3C5BC5055B5E8704194DE5BBD625C4731C69FE5A6D1B87D7E58EA17DA71C425525B2FC70681CF 8 Vir.Chinazoo %SystemRoot%\AC9642BE\SVCHSOT.EXEbl 5F3D351B2BF45E38EB9531583C9128FA 174153addsgn A7679BF0AA020C634BD4C60172881261848AFCF689AA7BF1A0C3C5BC50559D6C704194DE5BBD1E2CD780EE9EB90335EA3DDFB1F15802A66C2D8827221B106273 8 Win32/Farfli.AY [ESET]bl 3B7A51CD946567AF8E015FD04BC04003 99328addsgn A7679BF0AA0254E34BD4C6E90C881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C6F10C49F75C4C32EF4CA94AE15DA3BE4AC965B2FC706AB7E 8 Trojan.Win32.Agent.adptx [Kasper]zoo C:\WINDOWS\ISSERVICE.EXEbl 78DB6D6431B8A35F841B60028F5B2933 53248zoo %Sys32%\ISSERVICE.EXEadddir C:\RECYCLERadddir %SystemRoot%\AC9642BEchklstdelvirdelall C:\DOCUMENTSdeltmpdelnfrczoorestart

+

Список удаляемых объектов:

delall C:\DOCUMENTS

delall C:\SQLERVER.EXE

delall C:\RECYCLER\SQLERVER.EXE

delall C:\WINDOWS\HOST.EXE

delall C:\WINDOWS\ISSERVICE.EXE

delall C:\WINDOWS\SQLERVER.EXE

delall C:\WINDOWS\SYSTEM32\PUP_SERVER.EXE

delall %SystemRoot%\AC9642BE\SVCHSOT.EXE

delall %Sys32%\123.EXE

delall %Sys32%\ISSERVICE.EXE

delall %Sys32%\XAFTWA.EXE

Найдено вирусов: 10

+

Стоит проверить этот файл еще: delall C:\RECYCLER\VIVO.COM

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Аркалык

C:\DOCUMENTS

C:\SQLERVER.EXE

C:\RECYCLER\SQLERVER.EXE

C:\RECYCLER\VIVO.COM

C:\WINDOWS\HOST.EXE

C:\WINDOWS\SQLERVER.EXE

C:\WINDOWS\SYSTEM32\PUP_SERVER.EXE

D:\WINDOWS\AC9642BE\SVCHSOT.EXE

D:\WINDOWS\SYSTEM32\123.EXE

C:\WINDOWS\ISSERVICE.EXE

D:\WINDOWS\SYSTEM32\ISSERVICE.EXE

D:\WINDOWS\SYSTEM32\XAFTWA.EXE

D:\WINDOWS\SYSTEM32\GEI33.DLL ( a variant of Win32/ServStart.BI )

D:\WINDOWS\SYSTEM32\HRA33.DLL ( Win32/Agent.RNS )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Аркалык

PR55.RP55

D:\WINDOWS\SYSTEM32\GEI33.DLL ( a variant of Win32/ServStart.BI )

D:\WINDOWS\SYSTEM32\HRA33.DLL ( Win32/Agent.RNS )

Подключемые библиотекы, исполняемых файлов:

D:\WINDOWS\SYSTEM32\XAFTWA.EXE

D:\WINDOWS\SYSTEM32\123.EXE

Думаю, если удалить исполняемые файлы, тогда, сами по себе не запустится библиотеки. В общем, не стоит заморачиватся удалением остатки мусора от вирусов, подбор трупов, это дело штатного антивируса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Аркалык

Всё равно прекрасный конкурсный образ ! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Новый - перспективный сервис по проверке/поиску SHA1 и сканированию файлов системы.

herdprotect.com/knowledgebase.aspx

Пожалуй это единственный ресурс который так активно работает с файлами.

Облачный сканер.

Загружает файлы ! ТЫСЯЧАМИ !

Проверка на 68 ! сканерах/антивирусах.

Сейчас в базе файлов у них немного, порядка 2.5 миллионов.

Но ! Только за последних 3 дня число SHA1/файлов выросло на 100.000 !

Более подробно: http://forum.esetnod32.ru/forum8/topic10549/

-------

Думаю, что излишние говорить о роли проверки по SHA1 & uVS.

И за раз можно проверить тысячи файлов.

А не несколько штук как на V.T

----------------------------------------------------

От себя могу сказать следующее: Кто заинтересовался:

Можно/нужно дать ссылку = информацию по ресурсу и как с ним работать в других разделах и на других форумах.

Большее число проверок - приводит к значительному увеличению скорости сканирования и увеличению базы SHA1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

ADWARE c цифровой подписью.

ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО SAVESENSE

ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО YONTOO LLC

ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО AMONETIZE LTD.

ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО DEALPLY TECHNOLOGIES LTD

ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО "BANDOO MEDIA, INC."

ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО PRICEGONG SOFTWARE LTD

ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО MONTIERA TECHNOLOGIES LTD

---------

:facepalm:

Столько этой дряни развелось...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Действительна, подписано APN LLC

Действительна, подписано Ask.com

Действительна, подписано Intertech Ltd

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Действительна, подписано lucky leap

Действительна, подписано Uniblue Systems

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
g0dl1ke

>>Uniblue Systems

те самые "оптимизаторы" ? :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Goobzo LTD

Skytouch Technology Co.

Mindspark Interactive Network

( буду каждый божий день добавлять )

Из вредности. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Действительна, подписано Conduit Ltd.

Действительна, подписано "Crawler, LLC"

Spigot, Inc

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Artur Kozak

Blabbers Communications Ltd

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Kimahri Software inc.

MY POP SHOP LTD

Ivan Kostin

TMRG Inc.

------------

P.S. Дальше продолжать...

Или усё ? :mellow::)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

AdvanceMark

Adpeak

Babylon Ltd.

GenTechnologies Apps

SafePCRepair

Media Get LLC

squirrelweb

IAC Search and Media

Zugo Ltd

PC Utilities Software Limited

ClickMeIn Limited

ReSoft LTD

Media Get LLC

:facepalm:

Ой.Мрак.

Ой.Не думал, что так много ADWARE с подписью будет.

Пожалуй, что для поисковых критериев это перебор...

Нужно на уроне разработки uVS.

Всё это добавить.*

* Следует учитывать, что может быть небольшая разница в написании.

После названия может стоять точка или запятая.

Следовательно, при формировании критерия выбирать как : "содержит"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Linkury

LemurLeap

linkswift

lookinglink

SerialTrunc

Somoto Ltd

wisen wizard

JumpyApps

SecureInstall, LLC

Perion Network Ltd.

GoDaddy.com, Inc

JumpyApps

Smart Apps

Cling Clang

SaltarSmart

secretsauce

Browse Fox

Browsebeyond

outobox

Whilokii

Storimbo

LinkiDoo

Jump Flip

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Surftastic

kozaka

FindRight

melondrea

RightSurf

CBS Interactive

Cherished Technology Limited

Flipora

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×