Войдите для возможности подписаться
Подписчики
0
Вымогатель TeslaCrypt нацелен на геймеров из России
Автор
AM_Bot, в Общий форум по информационной безопасности
Объявления
-
Сообщения
-
От PR55.RP55 · Опубликовано
uVS v4.13 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] (!) Невозможно открыть процесс: start.exe [2960] Полное имя START.EXE
Имя файла START.EXE
Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
--------------------- Самый обычный запуск и чистая система. Открыл посмотрел образ > Запустил uVS в обычном режиме и вот результат... -
От PR55.RP55 · Опубликовано
В окнах - появилась реклама. ( ожидаемо ) uVS этого не видит. ------------ New-Item -Path "HKCU:\Software\Policies\Microsoft\Windows" -Name "Explorer" -force New-ItemProperty -Path "HKCU:\Software\Policies\Microsoft\Windows\Explorer" -Name "DisableNotificationCenter" -PropertyType "DWord" -Value 1 New-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\PushNotifications" -Name "ToastEnabled" -PropertyType "DWord" -Value 0 ----------------- # Add HKEY_Users as a PS Drive New-PSDrive -PSProvider Registry -Name HKU -Root HKEY_USERS # Add the default user's registry hive so it is viewable/browsable by PowerShell Start-Process -FilePath 'CMD.EXE' -ArgumentList '/C REG.EXE LOAD HKU\AllUsers C:\Users\Default\NTUSER.DAT' -Wait -WindowStyle Hidden | Out-Null # Remove notification group policies from current user Remove-ItemProperty 'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer' -Name 'TaskbarNoNotification' -Force Remove-ItemProperty 'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'ToastEnabled' -Force Remove-ItemProperty 'HKCU:\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'NoToastApplicationNotification' -Force # Remove notification group policies from local machine Remove-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer' -Name 'TaskbarNoNotification' -Force Remove-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'ToastEnabled' -Force Remove-ItemProperty 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'NoToastApplicationNotification' -Force Remove-ItemProperty 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\Explorer' -Name 'DisableNotificationCenter' -Force # Remove notification group policies from default user Remove-ItemProperty 'HKU:\AllUsers\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer' -Name 'TaskbarNoNotification' -Force Remove-ItemProperty 'HKU:\AllUsers\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'ToastEnabled' -Force Remove-ItemProperty 'HKU:\AllUsers\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'NoToastApplicationNotification' -Force # Remove default user's registry hive Start-Process -FilePath 'CMD.EXE' -ArgumentList '/C REG.EXE UNLOAD HKU\AllUsers C:\Users\Default\NTUSER.DAT' -Wait -WindowStyle Hidden | Out-Null # Remove HKU_Users from PowerShell Remove-PSDrive -Name HKU --------------- Disable Security and Maintenance Notifications HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Windows.SystemToast.SecurityAndMaintenance Value Name: Enabled (DWORD)
Value: 0 Disable OneDrive Notifications HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Microsoft.SkyDrive.Desktop Value Name: Enabled (DWORD)
Value: 0 Disable Photos Notifications HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Microsoft.Windows.Photos_8wekyb3d8bbwe!App -
От PR55.RP55 · Опубликовано
Как оказалось всё гораздо хуже... Есть 64-х битная система > активации 64-х бит. модуля не проходит ( действия антивируса\защитника ) значит работает 32-х битный модуль... на 64-х битной системе. -
От PR55.RP55 · Опубликовано
В общем судя по всему активации 64-х бит. модуля мешал Windows Defender По хорошему нужно логи\журналы защитника в образ автозапуска сохранять. Тогда и по uVS меньше вопросов будет и "историю" заражений посмотреть. Возможно чтобы антивирусы так не реагировали что-то придумать. -
От PR55.RP55 · Опубликовано
uVS v4.12.3 [http://dsrt.dyndns.org:8888]: Windows 10 Home Single Language [Windows 11] 2009 x64 (NT v11.0 SP0) build 22000 [C:\WINDOWS] (!) Не удалось активировать 64-х битный модуль ----------- Образ: https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=126155&action=download
-