Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся
эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России,
Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане,
Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании
PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз
и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере
15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его
применить в корзине.
по второй ссылке решение, к сожалению, не было доведено до конца, по первой ссылки у пользователя и хелперов хватило времени и терпения, чтобы проверить состояние системы из всех положений: нормального, безопасного, и пассивного из под Live USB
образ автозапуска из uVS подтвердил наличие скрытого процесса, который внедряет потоки и нагружает процесс lsass.
Цитата
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [548], tid=4256 (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [548], tid=4280 (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [548], tid=4284
обнаружить, удалить, или получить копию данного драйвера не получается из нормального, и безопасного режима, зато из под winpe возможно уже легко обнаружить и зачистить систему.
Цитата
C:\WINDOWS\SYSTEM32\DRIVERS\WDF10283.SYS a variant of Win64/Agent.KD Действительна, однако сертификат УСТАРЕЛ Xtreaming Technology Inc. HKLM\uvs_system\ControlSet001\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B}\ImagePath system32\drivers\Wdf10283.sys тип запуска: На этапе загрузки (0)
Цитата
Загружен скрипт: F:\Support\COMP.TXT ======= Начало исполнения скрипта ======= -------------------------------------------------------- v400c -------------------------------------------------------- -------------------------------------------------------- OFFSGNSAVE -------------------------------------------------------- -------------------------------------------------------- zoo %Sys32%\DRIVERS\WDF10283.SYS -------------------------------------------------------- Копирование файла в Zoo: \\?\C:\WINDOWS\SYSTEM32\DRIVERS\WDF10283.SYS Файл скопирован в ZOO: F:\SUPPORT\ZOO\WDF10283.SYS._0FC2A538715B6E8A11AC95BB79338AD379B0C830 -------------------------------------------------------- addsgn 9AFB8488CB82BB1509D49FC070335BDF939E470451A9F4BCFB99DF57546A527C372C97CE664166E35C0A6FDBCA385911799153EBBE9E75957E639F669E993648 32 Trojan:Win64/CryptInject!MTB[Microsoft] 7 -------------------------------------------------------- Добавлена сигнатура: Trojan:Win64/CryptInject!MTB[Microsoft] -------------------------------------------------------- chklst -------------------------------------------------------- -------------------------------------------------------- Проверка списка... -------------------------------------------------------- Не удалось открыть файл: C:\WINDOWS\SYSTEM32\WBEM\\WMIPJOBJ.DLL Проверено файлов: 2942 Найдено вирусов: 1 -------------------------------------------------------- delvir -------------------------------------------------------- -------------------------------------------------------- Применение изменений... -------------------------------------------------------- Копирование файла в Zoo: C:\WINDOWS\SYSTEM32\DRIVERS\WDF10283.SYS Файл скопирован в ZOO: F:\SUPPORT\ZOO\WDF10283.SYS._0FC2A538715B6E8A11AC95BB79338AD379B0C830 Удаление ссылок... Удаление файлов... -------------------------------------------------------- Завершено процессов: 0 из 0 Изменено/удалено объектов автозапуска 1 из 1 Удалено файлов: 1 из 1
santy раз anti-malware.ru накрылся нужно создавать здесь тему ( или писать в одной из созданных ) и обсуждать Иначе: " уникальность функций Universal Virus Sniffer " останется в прошлом. Выпускать новую версию раз в пол года - это не есть хоро. Вот уже сколько накопилось вопросов: ------------------ FILES ENCRYPTED.txt; README.txt; INFO.HTA ; КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT; Прописать в settings.ini какие файлы нужно добавить в образ. ( FRST видит все файлы - uVS выборочно - если уж чистить, так чистить ) ------------------
HKLM\...\batfile\DefaultIcon: %SystemRoot%\System32\shell32.dll,-153 <==== ATTENTION HKLM\...\cmdfile\DefaultIcon: %SystemRoot%\System32\shell32.dll,-153 <==== ATTENTION Видимо в том числе речь может идти о отображении иконки чужого файла, как своего.
А это: http://www.tehnari.ru/f35/t267839/ HKLM Group Policy restriction on software: C:\USERS\Я\APPDATA\ROAMING\CPPREDISTX86.EXE <==== ATTENTION HKLM Group Policy restriction on software: C:\USERS\Я\APPDATA\ROAMING\CPPREDISTX86.EXE <==== ATTENTION
---------------------------------- А это: HKU\S-1-5-21-282081067-1870339625-3958985120-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 ---------------------------------- А это: Lsa: [Authentication Packages] msv1_0 SshdPinAuthLsa ----------------------------------- Нет доступа к файлу, возможно файл защищен [ E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMON.SYS._3FD92C0224DE69048FD8F7D06BE85709F25D6573 ] Доступ к файлу получен [E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMON.SYS._3FD92C0224DE69048FD8F7D06BE85709F25D6573] Нет доступа к файлу, возможно файл защищен [ E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMONFS.SYS._C0619FA97488838522E23181B80DBE8B25BF45AB ] Доступ к файлу получен [E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMONFS.SYS._C0619FA97488838522E23181B80DBE8B25BF45AB] Очевидно, что это лишнее действие. ----------------------------------- Поддержка перехода _программ на стандарт цифровой подписи SHA2 ----------------------------------- HKU\S-1-5-18\...\RunOnce: [Application Restart #2] => C:\Program Files\Internet Explorer\iexplore.exe -restart /WERRESTART <==== ATTENTION
RP55, зачистка мусора в системах - не самое важное сейчас для реализации в uVS. Понятно, что uVS уже не будет так часто обновляться, как это было раньше, не те времена. Потому надо в первую очередь реализовать то, что важно для быстрого анализа системы.
Цитата
Исполняемый файл: LS0BK2_payload.exe втречается 13 раз. Хотелось бы удалить его одной командой - без сигнатур.
а в итоге получится 13 команд будет добавлено в скрипт для удаления этих файлов.
Здесь может быть ошибка разбора. ---------------- отображении иконки чужого файла, как своего. Очевидно, что эта информация будет полезна в Инфо. ------------------ Поддержка SHA-2 Вопрос насколько корректно uVS будет работать с такими файлами. ------------------ и т.д. дело не только в мусоре. ------------------
Цитата
santy написал: в итоге получится 13 команд будет добавлено в скрипт для удаления этих файлов.
= Разработчик должен знать об этой теме ( и по хорошему написать общение на anti-malware.ru о переносе темы и смене форума ) у модератора должно было остаться право на публикацию ... ?
RP55 RP55 написал: = Разработчик должен знать об этой теме ( и по хорошему написать общение на anti-malware.ru о переносе темы и смене форума ) у модератора должно было остаться право на публикацию ... ?
пока что это тема не официальная, и разработчик не давал согласие на перенос форума, так что все предложения, так сказать до лучших времен. Если хочется что-то пообсуждать, и была возможность сохранить новые предложения.
FRST похоже добавил антируткит, если из нормального режима видит скрытый сервис.
"{45487F67-EC9F-4449-A6F2-2D0970F9B80B}" => service could not be unlocked. <==== ATTENTION HKLM\SYSTEM\ControlSet001\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B} => C:\WINDOWS\System32\drivers\Wdf41348.sys [6562192 2020-05-31] (Access Denied) [File not signed] <==== ATTENTION (Rootkit!/Locked Service)
Примечание: Если FRST никак не сможет получить доступ к службе, в логе будет напечатано следующее: 1b36535375971e1b" => service could not be unlocked. <===== ATTENTION Нечто подобное может свидетельствовать о рутките или повреждение реестра
Цитата
При заражении руткитом/буткитом не стоит вообще лечить с помощью FRST. Он для этого не предназначен и во многих случаях в его логах просто и не заметите этого заражения. А вместо FRST использовать TDSSKiller или другие утилиты, предназначенные для борьбы с руткитами/буткитами.
Правда они уже давно не пишут про обновление программы и изменения... ?