RP55 RP55 (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Предложения по дальнейшему развитию функций Universal Virus Sniffer

Сообщений: 5052

Баллов: 4041

Регистрация: 25.05.2010

Размещено 03.07.2020 18:26:55

+
CHR Notifications: Default -> hxxps://kupikupon.ru; hxxps://vk.com; hxxps://www.facebook.com; hxxps://www.mos.ru; hxxps://www.reddit.com; hxxps://www.respublica.ru; hxxps://www.web-telegram.ru

Куча параметров и неизвестно, что uVS видит, что не видит.

Перейти

Предложения по дальнейшему развитию функций Universal Virus Sniffer

Сообщений: 5052

Баллов: 4041

Регистрация: 25.05.2010

Размещено 01.07.2020 22:01:56

В uVS есть фильтр - время\дата.
Сейчас нужен фильтр точный вплоть до секунды.
С построением\отображением списка по дате.
Это необходимо для точного определения к какому событию относятся объекты\каталоги т.е. установить связь.
И оператор должен это делать быстро.
Например реализовать команду: "Показать объекты связанные с этим событием "

2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\ProgramData\RunDLL
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\ProgramData\Norton
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\ProgramData\grizzly
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\ProgramData\Doctor Web
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\ProgramData\AVAST Software
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\ProgramData\360safe
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files\SpyHunter
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files\Malwarebytes
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files\Enigma Software Group
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files\COMODO
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files\Cezurity
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files\ByteFence
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files\AVG
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files\AVAST Software
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files (x86)\AVG
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files (x86)\360
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\KVRT_Data
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\AdwCleaner
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 ____D C:\WINDOWS\speechstracing
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 ____D C:\ProgramData\System32
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 ____D C:\ProgramData\MB3Install
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 ____D C:\ProgramData\Malwarebytes

Перейти

Предложения по дальнейшему развитию функций Universal Virus Sniffer

Сообщений: 5052

Баллов: 4041

Регистрация: 25.05.2010

Размещено 30.06.2020 15:56:07

Вышла новая версия Firefox 78
Реализован: Push API и Service Workers

Push API дает веб приложениям возможность получать сообщения отправленные с сервера, независимо от того, запущено ли веб приложение в фоне или даже загружено ли оно вообще пользователем. Это позволяет посылать асинхронные сообщения и обновления.
https://support.mozilla.org/ru/kb/firefox-enterprise-78-release-notes

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 5052

Баллов: 4041

Регистрация: 25.05.2010

Размещено 28.06.2020 13:27:18

Точно он: https://vms.drweb.ru/virus/?i=21410737&lng=ru

<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Driver' = '%APPDATA%\Sysfiles\<Имя файла>.exe'

Создает или изменяет следующие файлы

%APPDATA%\microsoft\windows\start menu\programs\startup\driver.url

Создает следующие сервисы

<HKLM>\System\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '%APPDATA%\Sysfiles\WinRing0x64.sys'

Перейти

лицензия

Сообщений: 5052

Баллов: 4041

Регистрация: 25.05.2010

Размещено 28.06.2020 12:07:53

Вам нужно обратиться в службу технической поддержки ESET по адресу: support@esetnod32.ru

Перейти

ESET Smart Security & ESET Internet Security, Есть вопрос об этих антивирусах.

Сообщений: 5052

Баллов: 4041

Регистрация: 25.05.2010

Размещено 27.06.2020 20:40:44

Похоже, что ESET Smart Security Premium так и выпускается :)
актуальная версия: 13.1.21 ( Апрель )

[URL=https://www.anti-malware.ru/forum/topic/34589-%D0%B0%D0%BA%D1%82%D1%83%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5-%D0%B2%D0%B5%D1%80%D1%81%D0%B8%D0%B8-%D0%B0%D0%BD%D1%82%D0%B8%D0%B2%D0%B8%D1%80%D1%83%D1%81%D0%B0-13-%D0%B3%D0%BE-%D0%BF%D0%BE%D0%BA%D0%BE%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F/]Актуальные версии.[/URL]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 5052

Баллов: 4041

Регистрация: 25.05.2010

Размещено 27.06.2020 20:31:48

Если ориентироваться на: startup\driver.url

https://www.elektroda.pl/rtvforum/topic3597551.html

Анализ файлов похожей модификации: https://app.any.run/tasks/c578e0e9-b06a-459c-8952-ecc6bb9da88d/

https://vms.drweb.ru/virus/?i=18215785&lng=ru

Внедряет код в
следующие системные процессы:

%WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 5052

Баллов: 4041

Регистрация: 25.05.2010

Размещено 27.06.2020 10:13:25

Похоже интересная тема: https://safezone.cc/threads/pojavljaetsja-majner-nagruzhajuschij-cpu.35522/

Перейти

обнаружена атака, главная

Сообщений: 5052

Баллов: 4041

Регистрация: 25.05.2010

Размещено 26.06.2020 13:28:31

Расширение в браузер Хром сами устанавливали ?

Полное имя C:\USERS\MORYAK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FAJAFKHGBCEKJFFFGNPBBJHDHIMGFFEC\7.1.12.0_0\MALLBERY: УМНЫЙ ПОМОЩНИК ПОЛУЧЕНИЯ КЭШБЭКА!
Имя файла MALLBERY: УМНЫЙ ПОМОЩНИК ПОЛУЧЕНИЯ КЭШБЭКА!
Тек. статус ПОДОЗРИТЕЛЬНЫЙ [файловый поток] Chrome/Yandex

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ [файловый поток] Chrome/Yandex

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Тип объекта файловый поток

Extension_ID fajafkhgbcekjfffgnpbbjhdhimgffec
Extension_name Mallbery: умный помощник получения кэшбэка!
Extension_state 0
Extension_version 7.1.12.0
Extension_installDate 2019-12-01 19:35
Extension_description Получите кэшбэк и лучшие предложения при совершении покупок в 10.000 + магазинах!
Extension_homepageURL https://clients2.google.com/service/update2/crx

---------------------
Если не устанавливали то удалите его и на этом всё - система чиста :)

Перейти

обнаружена атака, главная

Сообщений: 5052

Баллов: 4041

Регистрация: 25.05.2010

Размещено 25.06.2020 19:21:33

Владимир Матрос

Цитата
1. Дублирование ip адресов 2. Атака путем подделки записей кэша arp 3. Объект угроза js/adware.mallbery.a тип минироутер

Дублирование ip адресов - может быть особенностью сети. ( или вашей локальной сети )

Моя сеть — мои правила. Универсальные советы по настройке и защите роутера
https://club.esetnod32.ru/articles/analitika/moya-set-moi-pravila/
+
Попробуйте добавить расширение uBlock Origin, чтобы меньше цеплялось со страниц вредоносных js скриптов
https://addons.opera.com/ru/extensions/details/ublock/

Отражение атак - вещь нормальная для этого и нужен антивирус.
Если есть подозрение, что на PC есть вирусы\угрозы:
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
+
Добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

Перейти