Перейти к содержанию
Krec

"ядовитый" куки

Recommended Posts

Krec

Давно еще стал заметить, что bitdefender детектит txt файлы, а именно куки из системного каталога.

Вот скрин на фоне этих же файлов:

b5d73b2510b8.png

а вот содержание Cookie.SpyLog

VISIDFOADPAMJNUOKGAPGFJspylog.com/21474846724128015360305243408183339930377490*

spylog.com - я сюда не заходил и не знаю что это за сайт. хотел посмотреть что то, но почему то редиректит на другой сайт, вроде по разработке web..

странно мне все это кажется. Может кто то вкурсе что это ? ложная тревога или стоит покопаться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

счетчик от спайлога на каждом третьем сайте...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
счетчик от спайлога на каждом третьем сайте...

т.е. все нормально?

а стоит ли обратится в поддержку , чтоб убрать эти ложные срабатывания? у них вроде поддержка на русском нету вроде..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Doctor_Petrov

Техподдержка продуктов Битдефендер на английском языке. Хотя можно и на румынском конечно написать)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.11.8
      ---------------------------------------------------------
       o Управление DNS логом вынесено в отдельные твики, #41 и #42.
         DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
         Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
         в последнем случае необходимо перезагрузить систему после 42 твика.
         (Win7 и ниже не поддерживается).  
    • demkd
      да, выглядит странно, может быть CommandLineEventConsumer чем-то уже удален, антивирус какой-нибудь неаккуратно поработал.
    • santy
      здесь почему то нет потребителя события c5br1lMhB Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"" что это может быть? скрипт, который был недоступен на момент создания образа? запуск майнера был: C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON но чем был вызван запуск - не смогли отследить. (зачистили без regt 39)                              IZTVMAIL01_2021-07-30_07-26-53_v4.11.6.7z
    • demkd
      привет, любой запуск процесса отслеживается, не важно что его запустило, дополнительно в wmi-activity разве что dll можно считать, которые подсаживались в wmiprvse.exe, толку только от этого.
    • santy
      Привет. Возможен ли расширенный мониторинг создаваемых процессов через подписки WMI, аналогично тому, как это выполняется сейчас в uVS через твик 39? (т.е. доп. события пишутся системой в лог WMI-Activity.evtx и затем экспортируются нужное в образ автозапуска) или это уже работает сейчас?  
×