Очистка пользовательских временных каталогов

[Angel-iz-Ada 0]

сейчас как вариант лечения можно использовать команду удаления ветки через exec

[demkd 622]

Angel-iz-Ada

уже не надо 3.81 доступен для обновления, там все есть

на сайте к вечеру наверное обновлю, конечно если успею собрать все пакеты.

[PR55.RP55 82]

Образец с реальной/проблемной машины.

Экспорт IP-Politic.rar

forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=92900&action=download

[PR55.RP55 82]

Чувство гордости.

Охватывает, охватывает, охватывает.

Не оскудевает земля талантами !

И видимо охватить не может ...

------

Win32/Injector.ANJN троянская программа ( Eset )

------

HOME-55B1944CA3

2013-10-04 21:48

Полное имя C:\DOCUMENTS AND SETTINGS\KROZ\LMECCWOB.EXE

Имя файла LMECCWOB.EXE

Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

File_Id 5242AB0326000

Linker

РАЗМЕР 47968256 байт

Создан 25.09.2013 в 20:13:02

Изменен 25.09.2013 в 20:13:09

Атрибуты СКРЫТЫЙ

Тип файла 32-х битный ИСПОЛНЯЕМЫЙ

Цифр. подпись проверка не производилась

Оригинальное имя II.exe

Версия файла 33.00.0725

Описание aaaaaaaaaaaaaaaaaaaaaaaaa

Продукт eeeeeeerererere

Copyright ssasasas

Производитель CamStudio Group

Комментарий aaaaaaaaaaaaaa

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Атрибут файла "Скрытый" или "Системный" [типично для вирусов]

Путь до файла Типичен для вирусов и троянов

Ссылки на объект

Ссылка HKEY_USERS\S-1-5-21-1708537768-1580818891-1606980848-1004\Software\Microsoft\Windows\CurrentVersion\Run\MSConfig

MSConfig "C:\Documents and Settings\kroz\lmeccwob.exe"

rghost.ru/

49148764

[PR55.RP55 82]

Интересная тема.

Похоже новый зверь.

http://forum.esetnod32.ru/forum6/topic10334/

Интересный момент.

C:\USERS\TECHNO\APPDATA\ROAMING\MOZILLA\FIREFOX\FIREFOX.EXE

C:\PROGRAM FILES\ADOBE\READER 9.0\RESOURCE\FONT\PFM\BELKINWCUI.EXE

C:\PROGRAM FILES\BLUETOOTH SUITE\DA-DK\IGFXPERS.EXE

C:\PROGRAM FILES\CONEXANT\ROLLBACK\OEM8.INF\BINGDESKTOP.EXE

C:\PROGRAM FILES\CONEXANT\SAII\LT-LT\RDPCLIP.EXE

Эти и другие файлы ...

SHA 1 - у всех файлов разные

А Вот File_Id ; 4F25BAECAE000

И сигнатура подходит.

addsgn 1AFAE79A5583C58CF42B627DA804DE50AE66ABA0028F13F3C8D34EC1585DB0C7F214056CC0239572

D38F063F4716497B845FE87255A8ACAF10533365C7065660 8 Rand.exe.Vir

Одинаково.

[demkd 622]

PR55.RP55

да, похоже файл один и тот же, просто в себе видать что-то хранит или просто мусором добивает до фикс. размера.

[PR55.RP55 82]

В общем новый вирус.

С маскировкой под системный ( типа Windows Backup Service )

Полное имя C:\USERS\***\APPDATA\LOCAL\MICROSOFT\WINDOWS\WIND OWS RECOVERY ENVIRONMENT\SDRSVC.EXE

Сохраненная информация на момент создания образа

Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

File_Id 490C4B3162000

Linker 10.0

Размер 388096 байт

Создан 01.11.2013 в 00:20:38

Изменен 01.11.2013 в 00:23:12

Тип файла 32-х битный ИСПОЛНЯЕМЫЙ

Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя SDRSVC.DLL

Версия файла 5.1.2600.1106 (xpsp.080413-2105)

Версия продукта 5.1.2600.1106

Описание Microsoft® Windows Backup Service

Производитель Microsoft Corporation

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Путь до файла Типичен для вирусов и троянов

Доп. информация на момент обновления списка

SHA1 78CBF6AB404DEB7364CFA57E7136AF284498F1BF

MD5 C4810CEEFBE04C6A6BB0124799D89248

Ссылки на объект

Ссылка C:\WINDOWS\TASKS\WINDOWS BACKUP AND RESTORE CENTER.JOB

Значение C:\Users\Рома\AppData\Local\Microsoft\Windows\Wind ows Recovery Environment\SDRSVC.exe

Ссылка C:\WINDOWS\SYSTEM32\TASKS\WINDOWS BACKUP AND RESTORE CENTER

Устанавливается на разных системах.

На Windows 7 - например так и будет, что: ( Версия продукта 5.1.2600.1106 )

https://www.virustotal.com/ru/file/a96fd883...d5070/analysis/

Распространяется с K-Lite Mega Codec Pack.10.1.0.0.exe SHA1 = ( 6D41AFD8D6A6B4FBBC5BD9DD10513973446E2C3D )

Причём видимо с оф.сайта. ( у меня есть )

SDRSVC.exe

rghost.ru/50713896

Что особо хорошо: SDRSVC .EXE = Оригинальное имя SDRSVC .DLL

[PR55.RP55 82]

Для желающих.

Обновление к основной базе проверенных файлов от RP55 RP55

http://forum.esetnod32.ru/messages/forum8/...1/#message12011

[PR55.RP55 82]

Предлагаю всем желающим найти _ВСЕ_ вирусы.

Образ в теме.

Задача очень сложная !

Проверять нужно очень внимательно.

Кто сможет ?

[Аркалык 19]

PR55.RP55

Скрипт будет таким:

;uVS v3.81.7 [http://dsrt.dyndns.org];Target OS: NTv5.2OFFSGNSAVEaddsgn A7679BF0AA02D4E64BD4C6D126881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CF2EF9FE82BD6D790E66D775BACCA22E833 8 Virus.Xzoo %Sys32%\XAFTWA.EXEbl 8725E505A6A2199B11BB4DCE9E5AD84C 49664addsgn 4ABC27D9553A288D3ED4AEB164AC9B20258AFCF6BA3A9670D58686D33DA6102F5725C3D8A6447F7971E2CB91697CFA608D5A897678F0E4089B04F1FFC2E415A9 8 Win32/Agent.QCV [ESET]bl FE845C76FCCEBF17EAC1A6C569F0939E 61952addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6014F23947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 8 Win32/Farfli.ACU [ESET]bl 05282BB47DABA965DB721B87924958DD 116736addsgn 9252773A156AC1CC0BA4514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 16 a variant of Win32/Kryptik.AAMY [NOD32]bl 6633FEE8FB1D6ED09A860AE710405C5B 20480addsgn A7679BF0AA02D4794AD4C63DD5881261848AFCF689AA7BF1A0C3C5BC5055B5E8704194DE5BBD625C4731C69FE5A6D1B87D7E58EA17DA71C425525B2FC70681CF 8 Vir.Chinazoo %SystemRoot%\AC9642BE\SVCHSOT.EXEbl 5F3D351B2BF45E38EB9531583C9128FA 174153addsgn A7679BF0AA020C634BD4C60172881261848AFCF689AA7BF1A0C3C5BC50559D6C704194DE5BBD1E2CD780EE9EB90335EA3DDFB1F15802A66C2D8827221B106273 8 Win32/Farfli.AY [ESET]bl 3B7A51CD946567AF8E015FD04BC04003 99328addsgn A7679BF0AA0254E34BD4C6E90C881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C6F10C49F75C4C32EF4CA94AE15DA3BE4AC965B2FC706AB7E 8 Trojan.Win32.Agent.adptx [Kasper]zoo C:\WINDOWS\ISSERVICE.EXEbl 78DB6D6431B8A35F841B60028F5B2933 53248zoo %Sys32%\ISSERVICE.EXEadddir C:\RECYCLERadddir %SystemRoot%\AC9642BEchklstdelvirdelall C:\DOCUMENTSdeltmpdelnfrczoorestart

+

Список удаляемых объектов:

delall C:\DOCUMENTS

delall C:\SQLERVER.EXE

delall C:\RECYCLER\SQLERVER.EXE

delall C:\WINDOWS\HOST.EXE

delall C:\WINDOWS\ISSERVICE.EXE

delall C:\WINDOWS\SQLERVER.EXE

delall C:\WINDOWS\SYSTEM32\PUP_SERVER.EXE

delall %SystemRoot%\AC9642BE\SVCHSOT.EXE

delall %Sys32%\123.EXE

delall %Sys32%\ISSERVICE.EXE

delall %Sys32%\XAFTWA.EXE

Найдено вирусов: 10

+

Стоит проверить этот файл еще: delall C:\RECYCLER\VIVO.COM

[PR55.RP55 82]

Аркалык

C:\DOCUMENTS

C:\SQLERVER.EXE

C:\RECYCLER\SQLERVER.EXE

C:\RECYCLER\VIVO.COM

C:\WINDOWS\HOST.EXE

C:\WINDOWS\SQLERVER.EXE

C:\WINDOWS\SYSTEM32\PUP_SERVER.EXE

D:\WINDOWS\AC9642BE\SVCHSOT.EXE

D:\WINDOWS\SYSTEM32\123.EXE

C:\WINDOWS\ISSERVICE.EXE

D:\WINDOWS\SYSTEM32\ISSERVICE.EXE

D:\WINDOWS\SYSTEM32\XAFTWA.EXE

D:\WINDOWS\SYSTEM32\GEI33.DLL ( a variant of Win32/ServStart.BI )

D:\WINDOWS\SYSTEM32\HRA33.DLL ( Win32/Agent.RNS )

[Аркалык 19]

PR55.RP55

D:\WINDOWS\SYSTEM32\GEI33.DLL ( a variant of Win32/ServStart.BI )

D:\WINDOWS\SYSTEM32\HRA33.DLL ( Win32/Agent.RNS )

Подключемые библиотекы, исполняемых файлов:

D:\WINDOWS\SYSTEM32\XAFTWA.EXE

D:\WINDOWS\SYSTEM32\123.EXE

Думаю, если удалить исполняемые файлы, тогда, сами по себе не запустится библиотеки. В общем, не стоит заморачиватся удалением остатки мусора от вирусов, подбор трупов, это дело штатного антивируса.

[PR55.RP55 82]

Аркалык

Всё равно прекрасный конкурсный образ !

[PR55.RP55 82]

Новый - перспективный сервис по проверке/поиску SHA1 и сканированию файлов системы.

herdprotect.com/knowledgebase.aspx

Пожалуй это единственный ресурс который так активно работает с файлами.

Облачный сканер.

Загружает файлы ! ТЫСЯЧАМИ !

Проверка на 68 ! сканерах/антивирусах.

Сейчас в базе файлов у них немного, порядка 2.5 миллионов.

Но ! Только за последних 3 дня число SHA1/файлов выросло на 100.000 !

Более подробно: http://forum.esetnod32.ru/forum8/topic10549/

-------

Думаю, что излишние говорить о роли проверки по SHA1 & uVS.

И за раз можно проверить тысячи файлов.

А не несколько штук как на V.T

----------------------------------------------------

От себя могу сказать следующее: Кто заинтересовался:

Можно/нужно дать ссылку = информацию по ресурсу и как с ним работать в других разделах и на других форумах.

Большее число проверок - приводит к значительному увеличению скорости сканирования и увеличению базы SHA1

[PR55.RP55 82]

ADWARE c цифровой подписью.

ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО SAVESENSE

ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО YONTOO LLC

ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО AMONETIZE LTD.

ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО DEALPLY TECHNOLOGIES LTD

ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО "BANDOO MEDIA, INC."

ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО PRICEGONG SOFTWARE LTD

ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО MONTIERA TECHNOLOGIES LTD

---------

Столько этой дряни развелось...

[PR55.RP55 82]

+

Действительна, подписано APN LLC

Действительна, подписано Ask.com

Действительна, подписано Intertech Ltd

[PR55.RP55 82]

+

Действительна, подписано lucky leap

Действительна, подписано Uniblue Systems

[g0dl1ke 26]

>>Uniblue Systems

те самые "оптимизаторы" ?

[PR55.RP55 82]

+

Goobzo LTD

Skytouch Technology Co.

Mindspark Interactive Network

( буду каждый божий день добавлять )

Из вредности.

[PR55.RP55 82]

Действительна, подписано Conduit Ltd.

Действительна, подписано "Crawler, LLC"

Spigot, Inc

[PR55.RP55 82]

+

Artur Kozak

Blabbers Communications Ltd

[PR55.RP55 82]

+

Kimahri Software inc.

MY POP SHOP LTD

Ivan Kostin

TMRG Inc.

------------

P.S. Дальше продолжать...

Или усё ?

[PR55.RP55 82]

+

AdvanceMark

Adpeak

Babylon Ltd.

GenTechnologies Apps

SafePCRepair

Media Get LLC

squirrelweb

IAC Search and Media

Zugo Ltd

PC Utilities Software Limited

ClickMeIn Limited

ReSoft LTD

Media Get LLC

Ой.Мрак.

Ой.Не думал, что так много ADWARE с подписью будет.

Пожалуй, что для поисковых критериев это перебор...

Нужно на уроне разработки uVS.

Всё это добавить.*

* Следует учитывать, что может быть небольшая разница в написании.

После названия может стоять точка или запятая.

Следовательно, при формировании критерия выбирать как : "содержит"

[PR55.RP55 82]

+

Linkury

LemurLeap

linkswift

lookinglink

SerialTrunc

Somoto Ltd

wisen wizard

JumpyApps

SecureInstall, LLC

Perion Network Ltd.

GoDaddy.com, Inc

JumpyApps

Smart Apps

Cling Clang

SaltarSmart

secretsauce

Browse Fox

Browsebeyond

outobox

Whilokii

Storimbo

LinkiDoo

Jump Flip

[PR55.RP55 82]

+

Surftastic

kozaka

FindRight

melondrea

RightSurf

CBS Interactive

Cherished Technology Limited

Flipora