ну, Хром здесь разрешен
FirewallRules: [{F2A91207-D804-4065-B40A-84218D6E29D4}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC -> Google LLC)
и FF разрешен из своего родного каталога
FirewallRules: [UDP Query User{337FEB3A-2191-4644-B86A-DC653388C5CE}C:\program files (x86)\mozilla firefox\firefox.exe] => (Allow) C:\program files (x86)\mozilla firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [TCP Query User{B2DA1FEE-F316-4D59-A6EC-B626BADDA317}C:\program files (x86)\mozilla firefox\firefox.exe] => (Allow) C:\program files (x86)\mozilla firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)

несколько тем ("lsass грузит ЦП") с форума virusinfo.info, которые подчеркивают уникальность функций Universal Virus Sniffer, в частности, обнаружение внедренных потоков в легальные, в том числе и системные процессы.
https://virusinfo.info/showthread.php?t=225067
https://virusinfo.info/showthread.php?t=224966

по второй ссылке решение, к сожалению, не было доведено до конца,
по первой ссылки у пользователя и хелперов хватило времени и терпения, чтобы проверить состояние системы из всех положений: нормального, безопасного, и пассивного из под Live USB

образ автозапуска из uVS подтвердил наличие скрытого процесса, который внедряет потоки и нагружает процесс lsass.


tdsskiller ничего не обнаружил из норм. режима

19:02:56.0459 0x0d80  TDSS rootkit removing tool 3.1.0.28 Apr  9 2019 21:11:46
19:02:56.0974 0x0d80  ============================================================­
19:02:56.0974 0x0d80  Current date / time: 2020/05/22 19:02:56.0974

19:03:18.0373 0x0c24  ============================================================­
19:03:18.0373 0x0c24  Scan finished
19:03:18.0373 0x0c24  ============================================================­
19:03:18.0373 0x0dac  Detected object count: 0
19:03:18.0373 0x0dac  Actual detected object count: 0

FRST нашел заблокированные каталоги и файлы:

==================== FLock ==============================

2020-05-22 12:46 C:\Windows\speechstracing
2020-05-22 16:23 C:\Windows\system32\config\SYSTEM
2020-05-18 19:49 C:\Windows\system32\Drivers\Wdf10283.sys

обнаружить, удалить, или получить копию данного драйвера не получается из нормального, и безопасного режима,
зато из под winpe возможно уже легко обнаружить и зачистить систему.



Rootkit.Win64.Agent.bfi
https://www.virustotal.com/gui/file/520f49dbf284b9712e0a274835f179fd14cd6899fa66e9b­a6795e5f8a98c3726/detection

santy
раз anti-malware.ru накрылся нужно создавать здесь тему ( или писать в одной из созданных ) и обсуждать
Иначе: "  уникальность функций Universal Virus Sniffer " останется в прошлом.
Выпускать новую версию раз в пол года - это не есть хоро.
Вот уже сколько накопилось вопросов:
------------------
FILES ENCRYPTED.txt; README.txt; INFO.HTA ; КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT;
Прописать в settings.ini какие файлы нужно добавить в образ. ( FRST видит все файлы - uVS выборочно - если уж чистить, так чистить )
------------------

http://www.tehnari.ru/f183/t267632/

Полное имя                  CMD\GIT.EXE
Имя файла                   GIT.EXE
Тек. статус                
                                                     
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                           
Доп. информация             на момент обновления списка
Файл                        C:\PROGRAM FILES\GIT\GIT-BASH.EXE
CmdLine                     --HIDE --NO-NEEDS-CONSOLE --COMMAND=CMD\GIT.EXE UPDATE-GIT-FOR-WINDOWS --QUIET --GUI
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\GIT FOR WINDOWS UPDATER
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EF8EDE4A-2075-4801-B3D0-61A2FB1CB41E}\Actions
Actions                     "C:\Program Files\Git\git-bash.exe" --hide --no-needs-console --command=cmd\git.exe update-git-for-windows --quiet --gui
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EF8EDE4A-2075-4801-B3D0-61A2FB1CB41E}\
                           
-----------------------------
Task: {48C470AA-9D1F-48F5-8A33-1CCB20E75F26} - C:\Windows\system32\pcalua.exe -a "C:\Users\SataLink\Downloads\MegaCasino_Setup (1).exe" -d C:\Users\SataLink\Downloads

-------------------------------
https://forum.kasperskyclub.ru/index.php?s=de86ae4c08a9c12b6ecee6ca4ec79a2a&showtopic=64818

Исполняемый файл: LS0BK2_payload.exe втречается 13 раз.
Хотелось бы удалить его одной командой - без сигнатур.

-------------------------------
Фиксирует ли uVS
CHR HKLM-x32\...\Chrome\Extension: [ehfanjejklfmnldbbclpocdbceaeemkn] - <no Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - <no Path/update_url>

CHR HKLM\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - <no Path\update_url>
CHR HKLM\...\Chrome\Extension: [jifflliplgeajjdhmkcfnngfpgbjonjg] - <no Path\update_url>

-------------------------------
Видит ли это:

HKLM\...\batfile\DefaultIcon: %SystemRoot%\System32\shell32.dll,-153 <==== ATTENTION
HKLM\...\cmdfile\DefaultIcon: %SystemRoot%\System32\shell32.dll,-153 <==== ATTENTION
Видимо в том числе речь может идти о отображении иконки чужого файла, как своего.

--------------------------------
https://forum.esetnod32.ru/forum4/topic15783/
Фиксирует  uVS, чистит ли ?
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\ESET
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\COMODO
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Cezurity
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\AVG
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus

--------------------------------
SHA-2 Системы Windows
https://support.microsoft.com/ru-ru/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus

https://support.microsoft.com/ru-ru/help/4474419/sha-2-code-signing-support-update

---------------------------------

А это: http://www.tehnari.ru/f35/t267839/
HKLM Group Policy restriction on software: C:\USERS\Я\APPDATA\ROAMING\CPPREDISTX86.EXE <==== ATTENTION
HKLM Group Policy restriction on software: C:\USERS\Я\APPDATA\ROAMING\CPPREDISTX86.EXE <==== ATTENTION

----------------------------------
А это:
HKU\S-1-5-21-282081067-1870339625-3958985120-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
----------------------------------
А это:
Lsa: [Authentication Packages] msv1_0 SshdPinAuthLsa
-----------------------------------
Нет доступа к файлу, возможно файл защищен [ E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMON.SYS._3FD92C0224DE69048FD8F7D06BE85709F25D6573 ]
Доступ к файлу получен [E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMON.SYS._3FD92C0224DE69048FD8F7D06BE85709F25D6573]
Нет доступа к файлу, возможно файл защищен [ E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMONFS.SYS._C0619FA97488838522E23181B80DBE8B25BF45AB ]
Доступ к файлу получен [E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMONFS.SYS._C0619FA97488838522E23181B80DBE8B25BF45AB]
Очевидно, что это лишнее действие.
-----------------------------------
Поддержка перехода _программ на стандарт цифровой подписи SHA2
-----------------------------------
HKU\S-1-5-18\...\RunOnce: [Application Restart #2] => C:\Program Files\Internet Explorer\iexplore.exe -restart /WERRESTART <==== ATTENTION

-----------------------------------

RP55,
зачистка мусора в системах - не самое важное сейчас для реализации в uVS. Понятно, что uVS уже не будет так часто обновляться, как это было раньше, не те времена. Потому надо в первую очередь реализовать то, что важно для быстрого анализа системы.


а в итоге получится 13 команд будет добавлено в скрипт для удаления этих файлов.

santy

Полное имя                  CMD\GIT.EXE

Здесь может быть ошибка разбора.
----------------
отображении иконки чужого файла, как своего.
Очевидно, что эта информация будет полезна в Инфо.
------------------
Поддержка SHA-2  
Вопрос насколько корректно uVS будет работать с такими файлами.
------------------
и т.д.
дело не только в мусоре.
------------------
в AVZ есть команда удаления по маске ?




.

сигнатура в данном случае - самая лучшая маска.

здесь можно вносить и обсуждать новые предложения по функционалу uVS
https://forum.esetnod32.ru/forum8/topic15904/

как и когда это будет реализовано - это другой вопрос, в первую очередь зависит от четкой формулировки предложений и свободного времени разработчика.

Мы это уже обсуждали - не все файлы исполняемые и не для всех можно ( и нужно ) добавлять сигнатуры.

= Разработчик должен знать об этой теме ( и по хорошему написать общение на anti-malware.ru о переносе темы и смене форума ) у модератора должно было остаться право на публикацию ... ?

пока что это тема не официальная, и разработчик не давал согласие на перенос форума, так что все предложения, так сказать до лучших времен. Если хочется что-то пообсуждать, и была возможность сохранить новые предложения.

FRST похоже добавил антируткит, если из нормального режима видит скрытый сервис.

"{45487F67-EC9F-4449-A6F2-2D0970F9B80B}" => service could not be unlocked. <==== ATTENTION
HKLM\SYSTEM\ControlSet001\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B} => C:\WINDOWS\System32\drivers\Wdf41348.sys [6562192 2020-05-31] (Access Denied) [File not signed] <==== ATTENTION (Rootkit!/Locked Service)

https://safezone.cc/threads/frst-tutorial/



Правда они уже давно не пишут про обновление программы и изменения... ?