Выбрать дату в календареВыбрать дату в календаре

поговорить о uVS, Carberp, планете Земля
это и понятно, что удалить не сможет,
но если видит ключ скрытого (из норм и безопасного режима) сервиса в реестре (т.е. руткита), чего не увидел специализированный антируткит tdsskilller - уже хорошо.

[QUOTE]"{45487F67-EC9F-4449-A6F2-2D0970F9B80B}" => service could not be unlocked. <==== ATTENTION => Error: No automatic fix found for this entry.
HKLM\SYSTEM\ControlSet001\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B} => C:\WINDOWS\System32\drivers\Wdf41348.sys [6562192 2020-05-31] (Access Denied) [File not signed] <==== ATTENTION (Rootkit!/Locked Service) => Error: No automatic fix found for this entry.[/QUOTE]

понятно, что и на VT улетел файл нулевого размера, а удаление данного файла после перезагрузки самой системой под вопросом,
скорее всего руткит отменит это задание.

[QUOTE]
VirusTotal: C:\WINDOWS\system32\Drivers\Wdf41348.sys => https://www.virustotal.com/file/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca49­5991b7852b855/analysis/1591036135/
Could not move "C:\WINDOWS\system32\Drivers\Wdf41348.sys" => Scheduled to move on reboot.[/QUOTE]

uVS тоже ничего не смог сделать из нормального режима.

[QUOTE]Копирование файла в Zoo: C:\WINDOWS\SYSTEM32\DRIVERS\WDF41348.SYS
Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\DRIVERS\WDF41348.SYS ]
(!) Не удалось получить доступ к C:\WINDOWS\SYSTEM32\DRIVERS\WDF41348.SYS
Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\DRIVERS\WDF41348.SYS ]
(!) Не удалось получить доступ к C:\WINDOWS\SYSTEM32\DRIVERS\WDF41348.SYS
\\?\C:\USERS\PHGOGIN\FAVORITES\DOWNLOADS\UVS\SUPPORT\ZOO\WDF41348.SYS.---
Не удалось скопировать файл [Отказано в доступе. ]

Удаление файлов...
C:\WINDOWS\SYSTEM32\DRIVERS\WDF41348.SYS будет удален после перезагрузки[/QUOTE]
поговорить о uVS, Carberp, планете Земля
FRST похоже добавил антируткит, если из нормального режима видит скрытый сервис.

"{45487F67-EC9F-4449-A6F2-2D0970F9B80B}" => service could not be unlocked. <==== ATTENTION
HKLM\SYSTEM\ControlSet001\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B} => C:\WINDOWS\System32\drivers\Wdf41348.sys [6562192 2020-05-31] (Access Denied) [File not signed] <==== ATTENTION (Rootkit!/Locked Service)
JS скрипт при переходе на поисковик google, ХЗ ЧТО ТУТ НЕ ТАК
+
добавьте образ автозапуска системы
Антивирус блокирует, главная
добавьте образ автозапуска
Не устанавливается NOD32. Код ошибки MSI.1303, Подозрение на вирус майнер
Аваст зачистили? что сейчас с малваребайт? не установился? сделайте еще раз образ автозапуска системы для контрольной проверки
Не устанавливается NOD32. Код ошибки MSI.1303, Подозрение на вирус майнер
Вам необходимо вычистить остатки Аваста.
AV: Avast Antivirus (Disabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF}
https://files.avast.com/iavs9x/avastclear.exe

[QUOTE] Скачайте avastclear.exe на ваш компьютер
   Запустите Windows в безопасном режиме
   Запустите утилиту
   Если вы установили Avast не в папку по умолчанию, найдите антивирус вручную. (Внимание: Будьте осторожны! Содержимое папки, которую вы выберете, будет удалено!)
   Нажмите УДАЛИТЬ
   Перезагрузите компьютер
[/QUOTE]

далее,

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]Task: {C12078A1-0AC2-4AC3-A333-1D1E57B4A9BF} - \Microsoft\Windows\Wininet\RealtekHDStartUP -> No File <==== ATTENTION
FF NewTab: Mozilla\Firefox\Profiles\6njd0tak.default -> hxxps://securesearch.org/homepage?hp=2&pId=BT170603&iDate=2020-02-11 07:29:54&bName=
2020-05-29 23:04 - 2020-05-29 23:04 - 000000000 ____D C:\Users\Bamik\AppData\Local\mbam
2020-05-29 23:04 - 2020-05-29 23:04 - 000000000 ____D C:\ProgramData\Malwarebytes
2020-05-29 23:04 - 2020-05-29 23:04 - 000000000 ____D C:\Program Files\Malwarebytes
2020-05-29 17:29 - 2020-05-29 17:29 - 000000000 ____D C:\Program Files\Malw
EmptyTemp:
Reboot:[/CODE]
Не устанавливается NOD32. Код ошибки MSI.1303, Подозрение на вирус майнер
добавьте новые логи FRST
Не устанавливается NOD32. Код ошибки MSI.1303, Подозрение на вирус майнер
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


[CODE]HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-57249860-2843950866-1147634639-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-57249860-2843950866-1147634639-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-57249860-2843950866-1147634639-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-57249860-2843950866-1147634639-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-57249860-2843950866-1147634639-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-57249860-2843950866-1147634639-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-57249860-2843950866-1147634639-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-57249860-2843950866-1147634639-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-57249860-2843950866-1147634639-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-57249860-2843950866-1147634639-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-57249860-2843950866-1147634639-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-57249860-2843950866-1147634639-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {041652E0-9B9B-4B7D-B5ED-FA0409194064} - \Microsoft\Windows\Wininet\RealtekHDControl -> No File <==== ATTENTION
Task: {0FCDA765-CE60-435B-903F-C4F0015EEDED} - \Microsoft\Windows\Wininet\Cleaner -> No File <==== ATTENTION
Task: {26BB6194-1C64-4CE3-99C2-372A3DE58968} - \Microsoft\Windows\Wininet\Taskhostw -> No File <==== ATTENTION
Task: {41E4F1BA-ACF4-468F-B5B0-ACAA6BDC3D96} - \Microsoft\Windows\Wininet\Taskhost -> No File <==== ATTENTION
Task: {49957BEE-B6E4-4F99-8951-0B903315681C} - \Opera scheduled assistant Autoupdate 1590688856 -> No File <==== ATTENTION
Task: {51F19D54-6A32-4DE3-A16D-A705060D25E6} - \Microsoft\Windows\BrokerInfrastructure\BgTaskRegistrationMa­intenanceTask -> No File <==== ATTENTION
Task: {6222D7B4-FCF2-4997-AB14-B2BF23EA60A8} - \Opera scheduled Autoupdate 1590688846 -> No File <==== ATTENTION
2020-05-25 21:22 - 2020-05-29 02:39 - 000000000 __SHD C:\AdwCleaner
2020-05-25 21:22 - 2020-05-28 20:02 - 000000000 __SHD C:\ProgramData\install
2020-05-25 21:22 - 2020-05-25 21:41 - 000000000 __SHD C:\ProgramData\Setup
2020-05-25 21:22 - 2020-05-25 21:23 - 000000000 __SHD C:\rdp
2020-05-25 21:22 - 2020-05-25 21:22 - 000000000 __SHD C:\ProgramData\Norton
2020-05-25 21:22 - 2020-05-25 21:22 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
2020-05-25 21:22 - 2020-05-25 21:22 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2020-05-25 21:22 - 2020-05-25 21:22 - 000000000 __SHD C:\ProgramData\ESET
2020-05-25 21:22 - 2020-05-25 21:22 - 000000000 __SHD C:\ProgramData\Doctor Web
2020-05-25 21:22 - 2020-05-25 21:22 - 000000000 __SHD C:\ProgramData\360safe
2020-05-25 21:22 - 2020-05-25 21:22 - 000000000 __SHD C:\Program Files\Malwarebytes
2020-05-25 21:22 - 2020-05-25 21:22 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2020-05-25 21:22 - 2020-05-25 21:22 - 000000000 __SHD C:\Program Files\ESET
2020-05-25 21:22 - 2020-05-25 21:22 - 000000000 __SHD C:\Program Files\COMODO
2020-05-25 21:22 - 2020-05-25 21:22 - 000000000 __SHD C:\Program Files\Cezurity
2020-05-25 21:22 - 2020-05-25 21:22 - 000000000 __SHD C:\Program Files\ByteFence
2020-05-25 21:22 - 2020-05-25 21:22 - 000000000 __SHD C:\Program Files\AVG
2020-05-25 21:22 - 2020-05-25 21:22 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2020-05-25 21:22 - 2020-05-25 21:22 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2020-05-25 21:22 - 2020-05-25 21:22 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2020-05-25 21:22 - 2020-05-25 21:22 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2020-05-25 21:22 - 2020-05-25 21:22 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2020-05-25 21:22 - 2020-05-25 21:22 - 000000000 __SHD C:\Program Files (x86)\AVG
2020-05-25 21:22 - 2020-05-25 21:22 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2020-05-25 21:22 - 2020-05-25 21:22 - 000000000 __SHD C:\Program Files (x86)\360
2020-05-25 21:22 - 2020-05-25 21:22 - 000000000 __SHD C:\KVRT_Data
2020-05-25 10:30 - 2020-05-29 01:53 - 000000000 __SHD C:\ProgramData\RealtekHD
FirewallRules: [{B8C21B19-26B9-4251-83AA-245F0BDA8D6E}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
FirewallRules: [{3D820624-D5A6-4ABB-BD99-8CA5D3B67502}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
FirewallRules: [{3BC6FD79-29A7-42DC-9D56-CE7173D1EE62}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => No File
FirewallRules: [{F62BC5FF-9709-4341-B639-C98B77BB65B3}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
FirewallRules: [{DDF3AE8D-1D55-4E17-A72B-2F7CE03790E6}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
FirewallRules: [{2E186DC8-2B74-43ED-B1AB-839D5FD5284A}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => No File
FirewallRules: [{A7FD420D-77FA-403B-ACEB-786A2DADE3FC}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
FirewallRules: [{7936860D-D362-4969-8743-510589AB5113}] => (Block) LPort=445
FirewallRules: [{AE603DE9-EFEF-4126-84AB-7C6797C18865}] => (Block) LPort=445
FirewallRules: [{1B35195E-CDA9-4B8A-98BE-426F89FC4CAF}] => (Block) LPort=139
FirewallRules: [{50610225-5A01-40A8-98FC-0C7E188F6F19}] => (Block) LPort=139
FirewallRules: [{245626DB-574D-4F13-B435-018B7887D086}] => (Allow) C:\Users\Bamik\AppData\Local\MediaGet2\mediaget.exe => No File
FirewallRules: [{DEC1AA6D-F3B6-4EF7-B91C-146E2D3629DC}] => (Allow) C:\Users\Bamik\AppData\Local\MediaGet2\mediaget.exe => No File
EmptyTemp:
Reboot:


[/CODE]
Предложения по дальнейшему развитию функций Universal Virus Sniffer
[B]Предложения по новым функциям в Universal Virus Sniffer[/B]

1. в настройки критерия (в базе snms) добавить команды deltsk, delwmi для автоматического исполнения
------------
2. установить возможность приоритета ( в случае, когда чистый (системный) файл используется в деструктивных целях) критерия перед цифровой и безопасным хэшем.

Как это сделать:
2.1. либо программно, согласно алгоритму разработчика (по определению деструктивных действий), автоматически присваивается (и сохраняется) статус «подозрительные» (или ?ВИРУС?), даже, если файл с белой цифровой и чистым хэшем.

2.2. либо через категории критериев:
добавить возможность разбить все критерии по категориям.
Категория — «потенциально деструктивные».
Допустим список объектов автозапуска сканируется по базе критериев. Если файл попал под критерий из группы «потенциально деструктивные действия», добавляется к статусу файла - «потенциально деструктивный»+статус «подозрительный» (или ?ВИРУС?) в этом случае. файл в дальнейшем проверяется по цифровым и безопасным хэшам, но для определения результирующего статуса файла «подозрительный»(или ?ВИРУС?) или «проверенный» приоритетом является детект по критерию.
--------------
3. выполнить запрос по горячей клавише. Из списка объектов автозапуска. Поле для запроса — поисковая строка. «+» «выполнить». Фильтрация работает поиском введенной подстроки по всему списку полей Инфо
--------------
4. выполнить комбинированный запрос: из формы инфо.
По горячей клавише: вводим значение и работают опции "+", и "выполнить". Если "+", в этом случае формируется второе условие связанное с первым оператором И
Результат выполнения запроса добавить в категорию «текущий запрос», (все простые и комбинированные запросы выводить в данную категорию).

При каждом новом запросе переписывается данная категория на новый список. Не путать запрос  с уже реализованным фильтрующим поиском.
--------------
5. добавить пункт категории данных по образу автозапуска: файлы с цифровой, не входящей в белый список
Сброс пароля на веб-консоль ERA 6.5, не ясно с инструкцией
откуда взят этот скриншот?