Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Форум технической поддержки Полезные программы

[ Закрыто ] Предложения по дальнейшему развитию функций Universal Virus Sniffer

RSS
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 25.05.2020 16:46:28
здесь можно вносить и обсуждать новые предложения по функционалу uVS
[ Как создать образ автозапуска? ]

Ответы

Пред. 1 2 3 4 5 След.
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 14.10.2020 17:08:35
В uVS есть категория для отсутствующих файлов.
Можно создать отдельную категорию:  Пустые каталоги с информацией по ним.
Изменено: RP55 RP55 - 14.10.2020 17:11:00
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 15.10.2020 15:32:51
RP55, ты постоянно данные темы здесь мониторишь, так что можно хотя бы раз и проверить как будет работать связка deldir+regt 18, а после этого снять логи FRST, для для большей точности, снять логи FRST+скрипт uVS с deldir+regt + новые логи FRST для проверки результата
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 23.10.2020 13:03:51
https://forum.esetnod32.ru/messages/forum3/topic16130/message110663/?result=reply#message110663

Полное имя                  C:\WINDOWS\SYSTEM32\NOTEPAD.EXE

CPU                         34.37%
CPU (1 core)             549.92%
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 23.10.2020 15:54:58
Цитата
RP55 RP55 написал:
https://forum.esetnod32.ru/messages/forum3/topic16130/message110663/?result=reply#message110663

Полное имя                  C:\WINDOWS\SYSTEM32\NOTEPAD.EXE

CPU                         34.37%
CPU (1 core)             549.92%
уже было такое ранее:
https://chklst.ru/discussion/1841/trojan-multi-genautorunproc-a

перенес тему:
https://forum.esetnod32.ru/forum6/topic16130/

здесь аналогичная тема:
https://virusinfo.info/showthread.php?t=225795

в hj висит задача:
O22 - Task: MicrosoftOfficeScheduledUpdate - C:\Windows\system32\rundll32.exe C:\Users\Администратор\AppData\Roaming\Microsoft\freetp\freetp­org.dll,UpdateService

хотя потоки в notepad, которые показаны в uVS здесь  не увидят
[ Как создать образ автозапуска? ]
 
Дмитрий Б
Дмитрий Б
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 23.10.2020 21:04:37
Цитата
santy написал:
C:\Users\Администратор\AppData\Roaming\Microsoft\freetp\freetp­­org.dll,UpdateService

https://www.virustotal.com/gui/file/3a9a7ee6bd697eb1810ff623b500dde3711658aa4f82338­96631d5df861bd1a7/detection
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 24.10.2020 18:02:34
кстати,
по логу uVS:
======= Начало исполнения скрипта =======
--------------------------------------------------------
v400c
--------------------------------------------------------
--------------------------------------------------------
unload %Sys32%\RUNDLL32.EXE
--------------------------------------------------------
Операция выгрузки объекта добавлена в очередь: C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
--------------------------------------------------------
deltsk %Sys32%\RUNDLL32.EXE
--------------------------------------------------------
--------------------------------------------------------
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­FREETP\FREETPORG.DLL
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\FREETP­ORG.DLL
Файл скопирован в ZOO: C:\USERS\АДМИНИСТРАТОР\DESKTOP\SUPPORT\ZOO\FREETPORG.DLL._BE2292743106EC183CD2DA5B9CB0CE4548C3C5B8
--------------------------------------------------------
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­FREETP\FREETPORG.DLL
--------------------------------------------------------
--------------------------------------------------------
dirzooex %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­FREETP
--------------------------------------------------------
Копирование файла в Zoo: C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\freept­org.dll
Копирование файла в Zoo: C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\freetp­org.dll
Копирование файла в Zoo: C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\main.exe
Копирование файла в Zoo: C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\Module­.exe
Копирование файла в Zoo: C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\StartP­rocess.dll
Копирование файла в Zoo: C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\stub.exe
--------------------------------------------------------
deldir %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­FREETP
--------------------------------------------------------
Удалено файлов: 8 из 8
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 24.10.2020 18:11:09
Цитата
santy написал:
Операция выгрузки объекта добавлена в очередь: C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
А не должно быть записи типа: выгрузка успешно завершена ?
команда есть, а где пруфы ?
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 27.10.2020 18:29:45
Видит ли uVS записи типа:
CHR NewTab: Default ->  Active:"chrome-extension://hdpgllbnilfcbckbdchjcfgopijgllcm/index.html", Not-active:"chrome-extension://kppacdmmddediahklmcgkgdhhoojemmd/visual-bookmarks.html"
--------
CHR NewTab: Default ->  Not-active:"chrome-extension://oelpkepjlgmehajehfeicfbjdiobdkfj/visual-bookmarks.html", Not-active:"chrome-extension://pchfckkccldkbclgdepkaonamkignanh/layout/newtab.html"
--------
CHR NewTab: Default ->  Not-active:"chrome-extension://piioimajcjmcjbnjkgbmdefehpofbhfl/start/index.html"
--------
CHR NewTab: Default -> "chrome-extension://iflppbjnpneiigcbdfjpnkebidmkjmoi/visual-bookmarks.html"
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 28.10.2020 06:10:25
---------------------------------------------------------
4.11.2
---------------------------------------------------------
o Добавлена поддержка VT API v3.

o Восстановлена поддержка сервиса runscanner.net

o Исправлена функция переключения рабочих столов при работе с удаленной системой.

o В лог теперь выводится информация о существующих оконных станциях и список рабочих столов для дефолтной оконной станции.

o Добавлены горячие клавиши при работе с активной системой:
  Alt->left и Alt->right клавиши переключают доступные рабочие столы.
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 28.10.2020 22:06:33
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
 
Пред. 1 2 3 4 5 След.
Читают тему