Размещено 25.05.2020 16:46:28
здесь можно вносить и обсуждать новые предложения по функционалу uVS
Значит процитирую....
накопилось вопросов:
------------------
FILES ENCRYPTED.txt; README.txt; INFO.HTA ; КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT;
Прописать в settings.ini какие файлы нужно добавить в образ. ( FRST видит все файлы - uVS выборочно - если уж чистить, так чистить )
------------------
Здесь может быть ошибка разбора.
Полное имя CMD\GIT.EXE
Имя файла GIT.EXE
Тек. статус
Сохраненная информация на момент создания образа
Статус в автозапуске
Доп. информация на момент обновления списка
Файл C:\PROGRAM FILES\GIT\GIT-BASH.EXE
CmdLine --HIDE --NO-NEEDS-CONSOLE --COMMAND=CMD\GIT.EXE UPDATE-GIT-FOR-WINDOWS --QUIET --GUI
Ссылки на объект
Ссылка C:\WINDOWS\SYSTEM32\TASKS\GIT FOR WINDOWS UPDATER
Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EF8EDE4A-2075-4801-B3D0-61A2FB1CB41E}\Actions
Actions "C:\Program Files\Git\git-bash.exe" --hide --no-needs-console --command=cmd\git.exe update-git-for-windows --quiet --gui
Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EF8EDE4A-2075-4801-B3D0-61A2FB1CB41E}\
-----------------------------
Task: {48C470AA-9D1F-48F5-8A33-1CCB20E75F26} - C:\Windows\system32\pcalua.exe -a "C:\Users\SataLink\Downloads\MegaCasino_Setup (1).exe" -d C:\Users\SataLink\Downloads
-------------------------------
Исполняемый файл: LS0BK2_payload.exe втречается 13 раз.
Хотелось бы удалить его одной командой - без сигнатур.
-------------------------------
Фиксирует ли uVS
CHR HKLM-x32\...\Chrome\Extension: [ehfanjejklfmnldbbclpocdbceaeemkn] - <no Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - <no Path/update_url>
CHR HKLM\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - <no Path\update_url>
CHR HKLM\...\Chrome\Extension: [jifflliplgeajjdhmkcfnngfpgbjonjg] - <no Path\update_url>
-------------------------------
Видит ли это:
HKLM\...\batfile\DefaultIcon: %SystemRoot%\System32\shell32.dll,-153 <==== ATTENTION
HKLM\...\cmdfile\DefaultIcon: %SystemRoot%\System32\shell32.dll,-153 <==== ATTENTION
Видимо в том числе речь может идти о отображении иконки чужого файла, как своего.
Очевидно, что эта информация будет полезна в Инфо.
--------------------------------
Фиксирует uVS, чистит ли ?
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\ESET
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\COMODO
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Cezurity
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\AVG
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
--------------------------------
SHA-2 Системы Windows
---------------------------------
А это:
HKLM Group Policy restriction on software: C:\USERS\Я\APPDATA\ROAMING\CPPREDISTX86.EXE <==== ATTENTION
HKLM Group Policy restriction on software: C:\USERS\Я\APPDATA\ROAMING\CPPREDISTX86.EXE <==== ATTENTION
----------------------------------
А это:
HKU\S-1-5-21-282081067-1870339625-3958985120-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
----------------------------------
А это:
Lsa: [Authentication Packages] msv1_0 SshdPinAuthLsa
-----------------------------------
Нет доступа к файлу, возможно файл защищен [ E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMON.SYS._3FD92C0224DE69048FD8F7D06BE85709F25D6573 ]
Доступ к файлу получен [E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMON.SYS._3FD92C0224DE69048FD8F7D06BE85709F25D6573]
Нет доступа к файлу, возможно файл защищен [ E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMONFS.SYS._C0619FA97488838522E23181B80DBE8B25BF45AB ]
Доступ к файлу получен [E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMONFS.SYS._C0619FA97488838522E23181B80DBE8B25BF45AB]
Очевидно, что это лишнее действие.
-----------------------------------
Поддержка перехода _программ на стандарт цифровой подписи SHA2
-----------------------------------
HKU\S-1-5-18\...\RunOnce: [Application Restart #2] => C:\Program Files\Internet Explorer\iexplore.exe -restart /WERRESTART <==== ATTENTION
накопилось вопросов:
------------------
FILES ENCRYPTED.txt; README.txt; INFO.HTA ; КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT;
Прописать в settings.ini какие файлы нужно добавить в образ. ( FRST видит все файлы - uVS выборочно - если уж чистить, так чистить )
------------------
Здесь может быть ошибка разбора.
Полное имя CMD\GIT.EXE
Имя файла GIT.EXE
Тек. статус
Сохраненная информация на момент создания образа
Статус в автозапуске
Доп. информация на момент обновления списка
Файл C:\PROGRAM FILES\GIT\GIT-BASH.EXE
CmdLine --HIDE --NO-NEEDS-CONSOLE --COMMAND=CMD\GIT.EXE UPDATE-GIT-FOR-WINDOWS --QUIET --GUI
Ссылки на объект
Ссылка C:\WINDOWS\SYSTEM32\TASKS\GIT FOR WINDOWS UPDATER
Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EF8EDE4A-2075-4801-B3D0-61A2FB1CB41E}\Actions
Actions "C:\Program Files\Git\git-bash.exe" --hide --no-needs-console --command=cmd\git.exe update-git-for-windows --quiet --gui
Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EF8EDE4A-2075-4801-B3D0-61A2FB1CB41E}\
-----------------------------
Task: {48C470AA-9D1F-48F5-8A33-1CCB20E75F26} - C:\Windows\system32\pcalua.exe -a "C:\Users\SataLink\Downloads\MegaCasino_Setup (1).exe" -d C:\Users\SataLink\Downloads
-------------------------------
Исполняемый файл: LS0BK2_payload.exe втречается 13 раз.
Хотелось бы удалить его одной командой - без сигнатур.
-------------------------------
Фиксирует ли uVS
CHR HKLM-x32\...\Chrome\Extension: [ehfanjejklfmnldbbclpocdbceaeemkn] - <no Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - <no Path/update_url>
CHR HKLM\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - <no Path\update_url>
CHR HKLM\...\Chrome\Extension: [jifflliplgeajjdhmkcfnngfpgbjonjg] - <no Path\update_url>
-------------------------------
Видит ли это:
HKLM\...\batfile\DefaultIcon: %SystemRoot%\System32\shell32.dll,-153 <==== ATTENTION
HKLM\...\cmdfile\DefaultIcon: %SystemRoot%\System32\shell32.dll,-153 <==== ATTENTION
Видимо в том числе речь может идти о отображении иконки чужого файла, как своего.
Очевидно, что эта информация будет полезна в Инфо.
--------------------------------
Фиксирует uVS, чистит ли ?
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\ESET
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\COMODO
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Cezurity
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\AVG
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
--------------------------------
SHA-2 Системы Windows
---------------------------------
А это:
HKLM Group Policy restriction on software: C:\USERS\Я\APPDATA\ROAMING\CPPREDISTX86.EXE <==== ATTENTION
HKLM Group Policy restriction on software: C:\USERS\Я\APPDATA\ROAMING\CPPREDISTX86.EXE <==== ATTENTION
----------------------------------
А это:
HKU\S-1-5-21-282081067-1870339625-3958985120-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
----------------------------------
А это:
Lsa: [Authentication Packages] msv1_0 SshdPinAuthLsa
-----------------------------------
Нет доступа к файлу, возможно файл защищен [ E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMON.SYS._3FD92C0224DE69048FD8F7D06BE85709F25D6573 ]
Доступ к файлу получен [E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMON.SYS._3FD92C0224DE69048FD8F7D06BE85709F25D6573]
Нет доступа к файлу, возможно файл защищен [ E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMONFS.SYS._C0619FA97488838522E23181B80DBE8B25BF45AB ]
Доступ к файлу получен [E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMONFS.SYS._C0619FA97488838522E23181B80DBE8B25BF45AB]
Очевидно, что это лишнее действие.
-----------------------------------
Поддержка перехода _программ на стандарт цифровой подписи SHA2
-----------------------------------
HKU\S-1-5-18\...\RunOnce: [Application Restart #2] => C:\Program Files\Internet Explorer\iexplore.exe -restart /WERRESTART <==== ATTENTION