Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 6 7 8 9 10 11 12 13 14 15 16 ... 1728 След.
поговорить о uVS, Carberp, планете Земля
как вариант использовать функцию filtered

Цитата
Полное имя                  C:\PROGRAM FILES (X86)\TRANSMISSION\TRANSMISSION-DAEMON.EXE
Имя файла                   TRANSMISSION-DAEMON.EXE
Тек. статус                 АКТИВНЫЙ сервис в автозапуске Фильтр
                         
Удовлетворяет критериям    
SIGN.NOT.IN WHITE LIST      (ССЫЛКА ~ \IMAGEPATH)(1)   AND   (ЦИФР. ПОДПИСЬ ~ ДЕЙСТВИТЕЛЬНА)(1)   AND   (ЦИФР. ПОДПИСЬ !~ WDSL)(1) [auto (0)]
FLOCK (FILTERED)            (ПРОИЗВОДИТЕЛЬ ~ TRANSMISSION PROJECT)(1) [filtered (0)]
                         
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПРОВЕРЕННЫЙ сервис в автозапуске
Процесс                     32-х битный
File_Id                     5EC7A34817F000
Linker                      14.25
Размер                      1558232 байт
Создан                      05.12.2020 в 21:56:44
Изменен                     22.05.2020 в 07:05:52
                         
TimeStamp                   22.05.2020 в 10:02:48
EntryPoint                  +
OS Version                  6.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано SignPath Foundation
                         

Оригинальное имя            transmission-qt.exe
Версия файла                3.00 (bb6b5a062e)
Описание                    Transmission Qt Client
Производитель               Transmission Project
                         
Доп. информация             на момент обновления списка
pid = 3932                  NT AUTHORITY\СИСТЕМА
CmdLine                     "C:\Program Files (x86)\Transmission\transmission-daemon.exe" -run-instance
Процесс создан              23:11:58 [2021.06.24]
С момента создания          00:21:25
CPU                         0,09%
CPU (1 core)                0,34%
parentid = 744              C:\WINDOWS\SYSTEM32\SERVICES.EXE
SHA1                        E2325342A56423D628556549C56B7F4435AD276E
MD5                         7F8E96F120678508C58810F8A77F603B
                         
Ссылки на объект          
Ссылка                      HKLM\System\CurrentControlSet\Services\Transmission\ImagePat­h
ImagePath                   "C:\Program Files (x86)\Transmission\transmission-daemon.exe" -run-instance
DisplayName                 Transmission Daemon
Description                 Background BitTorrent service accessible with Qt client, web UI, or remote CLI tool.
Transmission                тип запуска: Авто (2)
Изменен                     03.05.2021 в 21:29:35
                         
Образы                      EXE и DLL
TRANSMISSION-DAEMON.EXE     C:\PROGRAM FILES (X86)\TRANSMISSION
                         
Загруженные DLL             НЕИЗВЕСТНЫЕ
LIBCRYPTO-1_1.DLL           C:\PROGRAM FILES (X86)\TRANSMISSION
LIBCURL.DLL                 C:\PROGRAM FILES (X86)\TRANSMISSION
LIBSSL-1_1.DLL              C:\PROGRAM FILES (X86)\TRANSMISSION
QT5CORE.DLL                 C:\PROGRAM FILES (X86)\TRANSMISSION
QT5DBUS.DLL                 C:\PROGRAM FILES (X86)\TRANSMISSION
QT5GUI.DLL                  C:\PROGRAM FILES (X86)\TRANSMISSION
QT5NETWORK.DLL              C:\PROGRAM FILES (X86)\TRANSMISSION
QT5WIDGETS.DLL              C:\PROGRAM FILES (X86)\TRANSMISSION
QT5WINEXTRAS.DLL            C:\PROGRAM FILES (X86)\TRANSMISSION
QWINDOWS.DLL                C:\PROGRAM FILES (X86)\TRANSMISSION\PLATFORMS
ZLIB.DLL                    C:\PROGRAM FILES (X86)\TRANSMISSION
                         
Загруженные DLL             ИЗВЕСТНЫЕ и ПРОВЕРЕННЫЕ
поговорить о uVS, Carberp, планете Земля
Цитата
RP55 RP55 написал:
Просто кто-то в очередной раз сэкономил.
Эффектный менеджмент.
вывод неверный. просто отсюда следует, что даже белая цифровая - не гарантия, что файл безопасен, нужна проверка по хэшу и сигнатуре. (плюс конечно, анализ поведения - но это уже для специалистов, и песочниц, типа app.any.run)

--------
пока что встречается сейчас ситуация часто, когда основные исполняемые модули  - имеют чистую цифровую, а dll которые загружаются были (пропатчены) без цифровых, на примере майнера FLOCK
Файлы зашифрованы с расширением .LIZARD, DMR/Trojan.Encoder.32508/Filecoder.Flamingo
судя по зашифрованному файлу и записке о выкупе - DMR

Цитата
Опознан как

   ransomnote_filename: #ReadThis.TXT
   sample_extension: [<email>][id=<id>]<original>.LIZARD

https://id-ransomware.malwarehunterteam.com/identify.php?case=2ea4ee767be3255efcc3432bcf7b9bf60de4c0c1
https://twitter.com/malwrhunterteam/status/1205096379711918080

образ автозапуска можете сделать на зашифрованной систему с помощью uVS?
+
нужны логи ESETlogcollector
https://forum.esetnod32.ru/forum9/topic10671/
Незапускаеться антивирус, Проблема с запуском есет
точки доступа сохранились ближайшие? пробуйте восстановиться из точки доступа


если нет, то из безопасного режима удалите продукт с помощью esetuninstaller, и заново переустановите продукт
https://www.esetnod32.ru/download/utilities/
поговорить о uVS, Carberp, планете Земля
Цитата
RP55 RP55 написал:
Microsoft призналась в подписании вредоносного драйвера «Netfilter»

«Netfilter» оказался руткитом, который обменивался данными с китайскими командными серверами...

safezone.cc/threads/microsoft-priznala-chto-podpisala-rutkit-vredonosnoe-po.38893/

 https://www.virustotal.com/gui/file/e0afb8b937a5907fbe55a1d1cc7574e9304007ef33fa80f­ ­f3896e997a1beaf37/details  

угу, видел здесь
https://www.bleepingcomputer.com/news/security/microsoft-admits-to-signing-rootkit-malware-in-supply-chain-fiasco/
и это печально, если такие номера проходят, то злоумышленники могут добавить вредоносные драйверы или dll в легитимный пакет для подписывания в целом приложения, в надежде на то, что исследователи не заметят. а потом уже получат подписанный файл, и будут использовать в своих сборках
[ Закрыто] не устанавливается нод 32 ошибка 1603
если продукт в списке для удаления в uninstaller больше не показывается, придется дочистить вручную, из безопасного режима
удалить оставшиеся файлы и папки, и ключи реестра

для этого добавьте новые логи:
образ автозапуска системы и лог ESETsysinspector
[ Закрыто] не устанавливается нод 32 ошибка 1603
Цитата
Павел Иванов написал:
какую ты посоветуешь?  
на какую есть лицензия.
если для защиты домашнего компьютера, то лучше ставить ESET Internet Securit. актуальную версию.
[ Закрыто] не устанавливается нод 32 ошибка 1603
пробуйте еще раз из безопасного режима удалить остатки антивируса актуальной версией ESETuninstaller
https://download.eset.com/com/eset/tools/installers/eset_apps_remover/latest/esetu­ninstaller.exe
лог добавьте во вложение в виде файла
[ Закрыто] не устанавливается нод 32 ошибка 1603
какую версию планируете ставить?
[ Закрыто] не устанавливается нод 32 ошибка 1603
так
http://forum.esetnod32.ru/forum9/topic10701/
Пред. 1 ... 6 7 8 9 10 11 12 13 14 15 16 ... 1728 След.