Перейти к содержанию

Recommended Posts

PR55.RP55
10 часов назад, santy сказал:

Есть интересная идея, реализована она в YARA.  (для будущих версий uVS)

YARA

Документация: http://virustotal.github.io/yara/

Коды: https://github.com/Yara-Rules/rules

+

Есть: ProcFilter

ProcFilter - это «система фильтрации процессов  Windows со встроенной интеграцией YARA

Наборы правил: https://github.com/Neo23x0/signature-base/tree/master/yara

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Надо бы всё-таки доработать парсинг ссылок на объекты.

27e4313e436d9bb7fd5f4cd537d91c72.jpg
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Microsoft изменила стандартный путь Защитника  в Windows 10

https://www.comss.ru/page.php?id=4708

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

http://www.tehnari.ru/f35/t257504/

C:\PROGRAMDATA\{3E5F38AC-012C-0}\{3E5F38AC-012C-0}.D

C:\PROGRAMDATA\{6EFC0E00-212C-1}\{6EFC0E00-212C-1}.D

C:\PROGRAMDATA\{7E094CF5-312C-0}\{7E094CF5-312C-0}.D

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Или вот образ:  http://www.tehnari.ru/f35/t257719/

C:\WINDOWS\MICROSOFT\SVCHOST.EXE

Файла даже нет в подозрительных.

А в старые добрые времена uVS бы написал: Имя файла слишком похоже на...

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 23.01.2018 at 1:05 AM, PR55.RP55 сказал:

А в старые добрые времена uVS бы написал: Имя файла слишком похоже на...

а тут проблема в том что он имеет валидную эцп, что бы это обойти придется делать повторный анализ имен файлов при загрузке образа и то это поможет лишь если включен белый список и статус проверенного, полученный файлом при создании образа, автоматически будет сброшен, как в данном случае.
Или что гораздо эффективней вкладывать свой белый список в дистрибутив используемый для создания образов, с включением соответствующего флага в ini файле.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 11.01.2018 at 12:46 AM, PR55.RP55 сказал:

C:\PROGRAMDATA\{3E5F38AC-012C-0}\{3E5F38AC-012C-0}.D

это гляну что там не так с bits-ом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В общем...

Установили виджет: System_Monitor_GT_7

http://soft.oszone.net/program/13677/System_Monitor_GT_7/

Удалили программу но... виджет остался.

Начали [ удалять ] в UVS...

и вот, что UVS выдал:

 

Полное имя                  $50564,89426,54272,C:\USERS\АНДРЕЙ\DESKTOP\WIN 7 + МОНИТОР CPU-RAM-SYSTEM_MONITOR_GT-7.EXE
Имя файла                   WIN 7 + МОНИТОР CPU-RAM-SYSTEM_MONITOR_GT-7.EXE
Статус                      в автозапуске
                            
Доп. информация             на момент обновления списка
CmdLine                     /SL5="$50564,89426,54272,C:\USERS\АНДРЕЙ\DESKTOP\WIN 7 + МОНИТОР CPU-RAM-SYSTEM_MONITOR_GT-7.EXE" /SPAWNWND=$404C6 /NOTIFYWND=$6009C
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\SIDEBAREXECUTE

----------------------------------    

При завершении системного SIDEBAR.EXE соответственно завершается и GT-7.EXE

Решили глянуть:

Полное имя                  C:\PROGRAM FILES (X86)\WINDOWS SIDEBAR\SIDEBAR.EXE
Имя файла                   SIDEBAR.EXE
Статус                      АКТИВНЫЙ ИЗВЕСТНЫЙ в автозапуске
Процесс                     32-х битный
File_Id                     4CE79791123000
Linker                      9.0
Размер                      1174016 байт
Создан                      21.11.2010 в 08:25:10
Изменен                     21.11.2010 в 08:25:10
                            
TimeStamp                   20.11.2010 в 09:40:33
EntryPoint                  +
OS Version                  6.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            SIDEBAR.EXE
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               проверка не производилась
                            
Оригинальное имя            sidebar.EXE.MUI
Версия файла                6.1.7600.16385 (win7_rtm.090713-1255)
Описание                    Гаджеты рабочего стола Windows
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
pid = 2520                  A778A777A778A\Андрей
CmdLine                     "C:\Program Files (x86)\Windows Sidebar\sidebar.exe" /autoRun
Процесс создан              23:18:34 [2018.01.25]
С момента создания          00:05:28
parentid = 2012             C:\WINDOWS\EXPLORER.EXE
CmdLine                     /SL5="$50564,89426,54272,C:\USERS\АНДРЕЙ\DESKTOP\WIN 7 + МОНИТОР CPU-RAM-SYSTEM_MONITOR_GT-7.EXE" /SPAWNWND=$404C6 /NOTIFYWND=$6009C
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\SIDEBAREXECUTE
                            
Ссылка                      HKEY_USERS\S-1-5-21-925640850-1559814312-4275519102-1000\Software\Microsoft\Windows\CurrentVersion\Run\Sidebar
Sidebar                     C:\Program Files (x86)\Windows Sidebar\sidebar.exe /autoRun
                            
Образы                      EXE и DLL
SIDEBAR.EXE                 C:\PROGRAM FILES (X86)\WINDOWS SIDEBAR
                            
Загруженные DLL             УСЛОВНО ИЗВЕСТНЫЕ
COMCTL32.DLL                C:\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_6.0.7601.17514_NONE_41E6975E2BD6F2B2
GDIPLUS.DLL                 C:\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.GDIPLUS_6595B64144CCF1DF_1.1.7601.17514_NONE_72D18A4386696C80
                            
Загруженные DLL             ИЗВЕСТНЫЕ и ПРОВЕРЕННЫЕ
ADVAPI32.DLL                C:\WINDOWS\SYSWOW64
APISETSCHEMA.DLL            C:\WINDOWS\SYSTEM32
ATL.DLL                     C:\WINDOWS\SYSWOW64
CLBCATQ.DLL                 C:\WINDOWS\SYSWOW64
CRYPT32.DLL                 C:\WINDOWS\SYSWOW64
CRYPTBASE.DLL               C:\WINDOWS\SYSWOW64
CRYPTSP.DLL                 C:\WINDOWS\SYSWOW64
CRYPTUI.DLL                 C:\WINDOWS\SYSWOW64
DNSAPI.DLL                  C:\WINDOWS\SYSWOW64
DWMAPI.DLL                  C:\WINDOWS\SYSWOW64
GDI32.DLL                   C:\WINDOWS\SYSWOW64
IEFRAME.DLL                 C:\WINDOWS\SYSWOW64
IERTUTIL.DLL                C:\WINDOWS\SYSWOW64
IMM32.DLL                   C:\WINDOWS\SYSWOW64
IPHLPAPI.DLL                C:\WINDOWS\SYSWOW64
JSCRIPT.DLL                 C:\WINDOWS\SYSWOW64
KERNEL32.DLL                C:\WINDOWS\SYSWOW64
KERNELBASE.DLL              C:\WINDOWS\SYSWOW64
LPK.DLL                     C:\WINDOWS\SYSWOW64
MLANG.DLL                   C:\WINDOWS\SYSWOW64
MSASN1.DLL                  C:\WINDOWS\SYSWOW64
MSCTF.DLL                   C:\WINDOWS\SYSWOW64
MSHTML.DLL                  C:\WINDOWS\SYSWOW64
MSIMTF.DLL                  C:\WINDOWS\SYSWOW64
MSLS31.DLL                  C:\WINDOWS\SYSWOW64
MSVCRT.DLL                  C:\WINDOWS\SYSWOW64
MSXML3.DLL                  C:\WINDOWS\SYSWOW64
NSI.DLL                     C:\WINDOWS\SYSWOW64
NTDLL.DLL                   C:\WINDOWS\SYSTEM32
NTDLL.DLL                   C:\WINDOWS\SYSWOW64
NTMARTA.DLL                 C:\WINDOWS\SYSWOW64
OLE32.DLL                   C:\WINDOWS\SYSWOW64
OLEACC.DLL                  C:\WINDOWS\SYSWOW64
OLEAUT32.DLL                C:\WINDOWS\SYSWOW64
PROFAPI.DLL                 C:\WINDOWS\SYSWOW64
PROPSYS.DLL                 C:\WINDOWS\SYSWOW64
PSAPI.DLL                   C:\WINDOWS\SYSWOW64
RPCRT4.DLL                  C:\WINDOWS\SYSWOW64
RPCRTREMOTE.DLL             C:\WINDOWS\SYSWOW64
RSAENH.DLL                  C:\WINDOWS\SYSWOW64
SECHOST.DLL                 C:\WINDOWS\SYSWOW64
SFC_OS.DLL                  C:\WINDOWS\SYSWOW64
SHELL32.DLL                 C:\WINDOWS\SYSWOW64
SHLWAPI.DLL                 C:\WINDOWS\SYSWOW64
SSPICLI.DLL                 C:\WINDOWS\SYSWOW64
SXS.DLL                     C:\WINDOWS\SYSWOW64
URLMON.DLL                  C:\WINDOWS\SYSWOW64
USER32.DLL                  C:\WINDOWS\SYSWOW64
USP10.DLL                   C:\WINDOWS\SYSWOW64
UXTHEME.DLL                 C:\WINDOWS\SYSWOW64
VERSION.DLL                 C:\WINDOWS\SYSWOW64
WINDOWSCODECS.DLL           C:\WINDOWS\SYSWOW64
WININET.DLL                 C:\WINDOWS\SYSWOW64
WINNSI.DLL                  C:\WINDOWS\SYSWOW64
WINSTA.DLL                  C:\WINDOWS\SYSWOW64
WLDAP32.DLL                 C:\WINDOWS\SYSWOW64
WOW64.DLL                   C:\WINDOWS\SYSTEM32
WOW64CPU.DLL                C:\WINDOWS\SYSTEM32
WOW64WIN.DLL                C:\WINDOWS\SYSTEM32
WS2_32.DLL                  C:\WINDOWS\SYSWOW64
WTSAPI32.DLL                C:\WINDOWS\SYSWOW64
                            
Прочие файлы                отображенные в память
LOCALE.NLS                  C:\WINDOWS\SYSTEM32
C_1252.NLS                  C:\WINDOWS\SYSTEM32
SIDEBAR.EXE                 C:\PROGRAM FILES (X86)\WINDOWS SIDEBAR
MSXML3R.DLL                 C:\WINDOWS\SYSWOW64
URLMON.DLL.MUI              C:\WINDOWS\SYSWOW64\RU-RU
MLANG.DLL.MUI               C:\WINDOWS\SYSWOW64\EN-US
INDEX.DAT                   C:\USERS\АНДРЕЙ\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5
INDEX.DAT                   C:\USERS\АНДРЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES
CVERSIONS.2.DB              C:\PROGRAMDATA\MICROSOFT\WINDOWS\CACHES
OLEACCRC.DLL                C:\WINDOWS\SYSWOW64
SORTDEFAULT.NLS             C:\WINDOWS\GLOBALIZATION\SORTING
STDOLE2.TLB                 C:\WINDOWS\SYSWOW64
{6AF0698E-D558-4F6E-9B3C-3716689AF493}.2.VER0X000000000000000C.DBC:\PROGRAMDATA\MICROSOFT\WINDOWS\CACHES
DIGITAL-7 (MONO).TTF        C:\WINDOWS\FONTS
KERNELBASE.DLL.MUI          C:\WINDOWS\SYSWOW64\RU-RU
INDEX.DAT                   C:\USERS\АНДРЕЙ\APPDATA\LOCAL\MICROSOFT\WINDOWS\HISTORY\HISTORY.IE5
{DDF571F2-BE98-426D-8288-1A9A39C3FDA2}.2.VER0X0000000000000002.DBC:\PROGRAMDATA\MICROSOFT\WINDOWS\CACHES
-------------
А это из Autoruns
sidebar.exe*32
    
C:\Users\Андрей\AppData\Local\Microsoft\Windows Sidebar\Settings.ini                25.01.2018 21:13    
C:\Users\Андрей\AppData\Local\Microsoft\Windows Sidebar\Gadgets\system_monitor_gt-7.gadget\Gadget.xml    25.01.2018 21:03

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

По поводу WMI и запуска файлов.

т.е. по мнению UVS файлы запускаются сами собой.

-----------------

Полное имя                  C:\WINDOWS\DEBUG\ITEM.DAT
Имя файла                   ITEM.DAT
Тек. статус                   ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                            
Доп. информация             на момент обновления списка
CmdLine                     rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa

 

-----------------------

Полное имя                  C:\WINDOWS\HELP\LSMOSEE.EXE
Имя файла                   LSMOSEE.EXE
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
File_Id                     5A6ADDDC2D5000
Linker                      83.82
Размер                      2326528 байт
Создан                      28.01.2018 в 15:01:43
Изменен                     28.01.2018 в 15:01:43
                            
TimeStamp                   26.01.2018 в 07:50:52
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Оригинальное имя            aspack.dll
Версия файла                5.91.001.000
Версия продукта             5.91
Описание                    Host Library
Продукт                     ASPack
Copyright                   (c) StarForce
Производитель               StarForce
                            
Доп. информация             на момент обновления списка
SHA1                        6CA9BC55382736C6FB173AFB789318EE7067F206
MD5                         0224B573793D1780E3FEC22739526C8F
                            
Ссылки на объект            
Ссылка                      HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\HELP\LSMOSEE.EXE
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
----------------------------------------------

 

Часть из WMI :

Полное имя                  WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]

("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa");

(\"rundll32.exe c:\\\\windows\\\\debug\\\\item.dat,ServiceMain aaaa\");";

-------------------------------------------------

А где  информация из WMI  в инфо.  ITEM.DAT  ?

И LSMOSEE.EXE сам собой запускается ?

https://forum.esetnod32.ru/forum6/topic14412/?PAGEN_1=2

 

                            

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Security\

---------

Trojan.Volgmer
создает следующие записи реестра:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ WMI \ Security \ "f0012345-2a9c-bdf8-345d-345d67b542a1" = "[HEXADECIMAL VALUE]"
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ WMI \ Security \ "125463f3-2a9c-bdf0-d890-5a98b08d8898" = "[HEXADECIMAL VALUE]"
https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=27791
---------
Troj/Agent-AQJQ

HKLM\SYSTEM\CurrentControlSet\Control\WMI\Security

72ca1d1af-7afc-4c06-cc1d-8feaac5cdf764

https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Agent-AQJQ/detailed-analysis.aspx
-----------
Анализ файла.
tr.Volgmer
https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2017/december/hidden-cobra-volgmer-a-technical-analysis/

-----------------------

Думаю, что можно и не говорить о том, что uVS этих записей традиционно не видит .

 

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Полное имя                  $(RUNTIME.WINDOWS)\IMMERSIVECONTROLPANEL\SYSTEMSETTINGS.EXE
Имя файла                   SYSTEMSETTINGS.EXE
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{8bcdf442-3070-4118-8c94-e8843be363b3}\MessageFileName
MessageFileName             $(runtime.windows)\ImmersiveControlPanel\SystemSettings.exe
                            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{8bcdf442-3070-4118-8c94-e8843be363b3}\ResourceFileName
ResourceFileName            $(runtime.windows)\ImmersiveControlPanel\SystemSettings.exe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

В том году писал про файл: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\WINHTTP.DLL

Который запускается но uVS этого не видит.

Нашёл детальную информацию по ESET-NOD32Win32/Spy.Socelars.A

https://www.bleepingcomputer.com/news/security/adware-installs-infostealer-trojan-that-it-loads-via-chrome-dll-hijacking/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dragokas

Дмитрий, здравствуйте!

18-таблетка фиксит ...\Policies\Explorer, DisallowRun и RestrictRun к значению 0, хотя значение по-умолчанию - это отсутствие данных параметров вообще.

Хотел спросить, это сделано намеренно, или просто является результатом шаблона для фикса всех подобных политик?

 

  • Like 1
  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 29.01.2018 at 12:40 AM, PR55.RP55 сказал:

т.е. по мнению UVS файлы запускаются сами собой.

разбор скриптов я точно писать не буду, так что чистить ручками.

В 01.02.2018 at 12:11 PM, PR55.RP55 сказал:

умаю, что можно и не говорить о том, что uVS этих записей традиционно не видит .

оно угрозы не представляет это просто зашифрованный конфиг зловреда.

41 минут назад, Dragokas сказал:

Хотел спросить, это сделано намеренно, или просто является результатом шаблона для фикса всех подобных политик?

Намеренно, uVS всегда прописывает дефолтные значения в явном виде.

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Java 8 Update 144

--------------------------------------------------------

Полное имя                  ..\JRE\LIB\RT.JAR
Имя файла                   RT.JAR
Тек. статус                ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
                            
Доп. информация             на момент обновления списка
CmdLine                     C:\Windows\system32\cmd.exe /c ..\JRE\bin\javaw -Xrs -classpath ..\JRE\lib\rt.jar -Djava.library.path=. -jar Framework.jar > start.log

--------------------------------------------------------

Полное имя                  ..\JRE\BIN\JAVA.EXE
Имя файла                   JAVA.EXE
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
                            
Доп. информация             на момент обновления списка
CmdLine                     ..\JRE\bin\java.exe -classpath  Popup.jar;..\GUI.jar Popup.Communicator ajsgyqkj=71244
-------------------------------------------------------------

Полное имя                  ..\JRE\BIN\JAVAW  -XRS -CLASSPATH ..\JRE\LIB\RT.JAR
Имя файла                   RT.JAR
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
                            
Доп. информация             на момент обновления списка
CmdLine                     ..\JRE\bin\javaw  -Xrs -classpath ..\JRE\lib\rt.jar -Djava.library.path=. -jar Framework.jar

--------------------------------------------------------------


Полное имя                  POPUP.JAR;..\GUI.JAR
Имя файла                   GUI.JAR
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
                            
Доп. информация             на момент обновления списка
CmdLine                     ..\JRE\bin\java.exe -classpath  Popup.jar;..\GUI.jar Popup.Communicator ajsgyqkj=71244
                            

                

                            

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

А можно все записи из _реестра типа:

WWW:\\
WWW://

HTTP://
HTTP:\\

0HTTP://
0HTTP:\\

HTTPS:\\
HTTPS://

0HTTPS://
0HTTPS:\\

Помещать в uVS  в виде списка ?

Заодно ( при возможности ) соотносить\сопоставлять время записи и время создания самого реестра. ( время установки системы )

( указывать в Инфо. две даты )

Соответственно с возможностью удалить запись.

* Речь о поиске в реестре с сохранением найденного в виде списка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Обновления внесённые в программу: FRST

17.02.2018 – Добавлен лог событий защитника Windows.
17.02.2018 – Описания "Диски", а также "MBR и таблица разделов" обновлены и включают не смонтированные тома и схемы, основанные на UEFI/GPT.
25.02.2018 – Описание секции "SmartScreen" поправлено, чтобы включить Windows 10 Version 1703

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 25.02.2018 at 4:23 PM, PR55.RP55 сказал:

Помещать в uVS  в виде списка ?

Есть отдельная категория для скриптов и объектов, а там фильтр работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
7 часов назад, demkd сказал:

Есть отдельная категория для скриптов и объектов, а там фильтр работает.

Речь не о том.

Для Хрома актуальна такая проблема, как неожиданная пере-адресация реклама с определённого сайта,

А по _ всем логам этого сайта невидно - всё чисто...

Вот я и говорю о поиске в Файлах реестра и файлах браузера.

Аналог - поиск по файлам\папкам в Notepad++ или eMail Extractor http://soft.oszone.net/program/9974/eMail_Extractor/

Поиск в расчёте на то, что в: Реестре; Расширениях браузера; В поисковых плагинах...

Этот проблемный сайт выплывет.

И только когда будет сформирован список - вот тогда и можно будет применить фильтр.

Реализовать хотя бы в пробной версии - посмотреть, как это будет работать.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Думаю, что все те рекламные сообщения которые отображал браузер и которые невозможно было выявить по логам имеют отношение к: Push  уведомлениям

https://support.mozilla.org/ru/kb/veb-push-uvedomleniya-v-firefox?as=u&utm_source=inproduct

так, что в обязательном порядке...

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

@demkd,

1) Скачиваем этот образ.

2) Составляем скрипт - даём команду delref для удаления

HTTPS://WWW.MALWAREBYTES.ORG/RESTOREBROWSER/USER_PREF(

3) Сохраняем скрипт в файл.

4) Проверяем скрипт из файла.

5) Наблюдаем ошибку в скрипте. Хотя скрипт был сохранён самим uVS и никак не редактировался. Так что по определению должен быть корректным.

PS. при сохранение в скрипт uVS разбивает эту строку на две, а как следствие вылазит эта ошибка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
2 часа назад, alamor сказал:

ри сохранение в скрипт uVS разбивает эту строку на две, а как следствие вылазит эта ошибка.

да, проблема в том что исходная строка содержит перевод строки, такого я еще не видел, интересно что было в оригинале

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 24.03.2018 at 1:59 PM, PR55.RP55 сказал:

Думаю, что все те рекламные сообщения которые отображал браузер и которые невозможно было выявить по логам имеют отношение к: Push  уведомлениям

посмотрю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Поискал записи с RESTOREBROWSER

PUP.Optional.YesSearches, C:\Users\{username}\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\prefs.js, Good: (user_pref("browser.startup.homepage", "https://www.malwarebytes.org/restorebrowser/), Bad: (user_pref("browser.startup.homepage", "http://www.yessearches.com), Replaced,[e7c7822e0f8a9a9c9294b3b861a409f7]

PUP.Optional.YesSearches, C:\Users\{username}\AppData\Roaming\Mozilla\Firefox\Profiles\CCACCBF1-7AB4-4CF5-B32D-668C686A539F\prefs.js, Good: (user_pref("browser.startup.homepage", "https://www.malwarebytes.org/restorebrowser/), Bad: (user_pref("browser.startup.homepage", "http://www.yessearches.com), Replaced,[7c32dad6d6c377bf28fea5c65ca9b947]

PUP.Optional.Yontoo, C:\Users\A-dog\AppData\Roaming\Mozilla\Firefox\Profiles\do5rpkxf.default\prefs.js, Good: (user_pref("browser.startup.homepage", "https://www.malwarebytes.org/restorebrowser/), Bad: (user_pref("browser.startup.homepage", "http://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggXI1oNAwtBFBgReQ0ATA1JFwQOeAwBAhQTGAEWdgAKVQpEEwAFIk0FA18DB0VXfWFoKB8fHGZGIUtbCWgESFZIC1dXFg==");), ,[404ae7bf7d0e6acc93136450699b4db3]

PUP.Optional.Palikan, C:\Users\User_Name_2\AppData\Roaming\Mozilla\Firefox\Profiles\bb23lera.default\prefs.js, Good: (user_pref("browser.startup.homepage", "https://www.malwarebytes.org/restorebrowser/), Bad: (user_pref("browser.startup.homepage", "http://www.palikan.com), Replaced,[ce4f40fb4c4dd75f1b5a6b79818346ba]

PUP.Optional.Palikan, C:\Users\User_Name_1\AppData\Local\Chromium\User Data\Default\Secure Preferences, Good: ("session":{"restore_on_startup":4,"startup_urls":["https://www.malwarebytes.org/restorebrowser/"]}}), Bad: ("session":{"restore_on_startup":4,"startup_urls":["http://www.palikan.com/?f=7&a=plk_ir_15_50&cd=2XzuyEtN2Y1L1QzuyEzzyD0BtAzy0E0FzyyCzz0DyC0AzyyBtN0D0Tzu0StCyEyEtCtN1L2XzutAtFtCyDtFtAtFtDtN1L1Czu1BtBtN1L1G1B1V1N2Y1L1Qzu2StB0F0DyEzy0E0FtBtGtByDtByCtGtDyDyEtAtGtBtB0E0BtG0FtBzzyBtB0B0Ezy0D0C0Azz2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0B0AtBtCtAyByE0BtG0AtByCzztGyEyByD0BtG0B0B0B0FtG0ByDyE0Fzz0C0EzztB0EtDyD2QtN0A0LzutB&cr=507566118&ir=&uref=chmm"]}}), Replaced,[e73669d2c6d34cea8a50944f93713cc4]

PUP.Optional.Conduit, C:\Users\Roger\AppData\Roaming\Mozilla\Firefox\Profiles\phlfbzm7.default\prefs.js, Good: (user_pref("browser.startup.homepage", "https://www.malwarebytes.org/restorebrowser/), Bad: (user_pref("browser.startup.homepage", "http://www.bing.com/?pc=COSP&ptag=D080915-A251FF33716&form=CONMHP&conlogo=CT3334491), Replaced,[72c936141c7e50e6b163267922e2916f]

PUP.Optional.Conduit, C:\Users\Ute u Jurgen\AppData\Roaming\Mozilla\Firefox\Profiles\9zbih3nl.default-1444847769041\prefs.js, Gut: (user_pref("browser.startup.homepage", "https://www.malwarebytes.org/restorebrowser/), Schlecht: (user_pref("browser.startup.homepage", "http://www.bing.com/?pc=COSP&ptag=D042217-A6B219395BABB4E59ADF&form=CONMHP&conlogo=CT3332005), ,[61bdd61eefb9d0665f6b1b01fc0732ce]

PUP.Optional.HomePageHelper, C:\Users\carol\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences, Good: ("session":{"restore_on_startup":4,"startup_urls":["https://www.malwarebytes.org/restorebrowser/"]}}), Bad: ("session":{"restore_on_startup":4,"startup_urls":["https://homepage-web.com/?s=lenovo&m=start"]}}), Replaced,[6c8f4fd227739f970ca3bce21aea4db3]

PUP.Optional.HomePageHelper, C:\Users\carol\AppData\Roaming\Mozilla\Firefox\Profiles\nmbfgbfe.default\prefs.js, Good: (user_pref("browser.startup.homepage", "https://www.malwarebytes.org/restorebrowser/), Bad: (user_pref("browser.startup.homepage", "https://homepage-web.com), Replaced,[b9420e138c0e37ffb006485755af9070]

PUP.Optional.WinYahoo, C:\Users\khonk\AppData\Roaming\Mozilla\Firefox\Profiles\g8qfxvhc.default\prefs.js, Bueno: (user_pref("browser.startup.homepage", "https://www.malwarebytes.org/restorebrowser/), Malo: (user_pref("browser.startup.homepage", "https://us.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wncy), ,[edd233c6405986b07eba681ebe4610f0]

PUP.Optional.Yontoo, C:\Users\Huwaert\AppData\Roaming\Mozilla\Firefox\P rofiles\xgsnglz8.default\prefs.js, Goed: (user_pref("browser.startup.homepage", "https://www.malwarebytes.org/restorebrowser/), Slecht: (user_pref("browser.startup.homepage", "http://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggScggBAAEXRBgWJAABTA1BQwQOIlsNW BRCE1RCcwwJU1hEQlAFIk0FA18DB0VXfWFoKB8fHGFRKVhWBlU UdUdCKVU="), Vervangen,[021c2f79414a2c0a94c2bdfeae567090]

[PUM.HomePage][Firefox:Config] px2us03v.default-1438862973166-1505776534346 : user_pref("browser.startup.homepage", "https://www.malwarebytes.org/restorebrowser/"); -> Not selected

[PUM.HomePage][FIREFX:Config] 5w23fwr3.default : user_pref("browser.startup.homepage", "https://www.malwarebytes.org/restorebrowser//?type=hp&ts=1445540607&z=6fdffa2afee0ed1164150d1g3z5z7w5w5zee5qaeam&from=amt&uid=st31000520as_5vx0gwt7xxxx5vx0gwt7"); -> Nalezeno

[PUM.HomePage][FIREFX:Config] 5w23fwr3.default : user_pref("browser.startup.homepage", "https://www.malwarebytes.org/restorebrowser//?type=hp&ts=1445540607&z=6fdffa2afee0ed1164150d1g3z5z7w5w5zee5qaeam&from=amt&uid=st31000520as_5vx0gwt7xxxx5vx0gwt7"); -> Nahrazeno (about:home)

FF - prefs.js..browser.startup.homepage: "https://www.malwarebytes.org/restorebrowser/

PUP.Optional.WinYahoo, C:\Users\USUARIO\AppData\Roaming\Mozilla\Firefox\Profiles\mu7gx2i5.default\prefs.js, Bueno: (user_pref("browser.startup.homepage", "https://www.malwarebytes.org/restorebrowser/), Malo: (user_pref("browser.startup.homepage", "https://co.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_vit_16_36&param1=1&param2=f%3D1%26b%3DFirefox%26cc%3Dco%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1Qzu0FtDyB0B0C0B0DzytBzyyByE0EtBtD0CtN0D0Tzu0StCyBtCtDtN1L2XzutAtFtByEtFyCtFyDtBtN1L1Czu1ByEtN1L1G1B1V1N2Y1L1Qzu2StA0FyC0AyCyCtAyDtGtCtAtC0BtGzytBtByEtGtD0CtA0DtG0AtAtCyByD0EtD0Czz0FyByB2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAyDtC0BtC0DtBtBtGzztA0EyBtGyEtB0DyEtGzztCzz0FtG0EtCzzzy0EyCtDtCzytAyBzy2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCtDtBtByE%26cr%3D12386728%26a%3Dwbf_vit_16_36%26os_ver%3D6.1%26os%3DWindowsSustituido,[c52ad5a23961092df3a4e4bb669ea65a]B7Sustituido,[c52ad5a23961092df3a4e4bb669ea65a]BUltimate"), %5

PUP.Optional.GlobalSearch.ShrtCln, C:\Users\PC\AppData\Roaming\Mozilla\Firefox\Profiles\rszzov5t.default\prefs.js, Bueno: (user_pref("browser.startup.homepage", "https://www.malwarebytes.org/restorebrowser/), Malo: (user_pref("browser.startup.homepage", "http://www.globasearch.com), Sustituido,[ab47fd042a7087afe17bff9fac58a55b]


PUP.Optional.HomePageHelper, C:\Users\craig\AppData\Roaming\Mozilla\Firefox\Profiles\y0akowxd.default\prefs.js, Good: (user_pref("browser.startup.homepage", "https://www.malwarebytes.org/restorebrowser/), Bad: (user_pref("browser.startup.homepage", "http://homepage-web.com), ,[3bac3b00abee4fe7d89207e29c6829d7]
PUM.Optional.FireFoxSearchOverride, C:\Users\craig\AppData\Roaming\Mozilla\Firefox\Profiles\y0akowxd.default\user.js, , [984fa992851448ee435a65824db731cf],

Deleted the following from C:\Users\craig\AppData\Roaming\Mozilla\Firefox\Profiles\y0akowxd.default\prefs.js
user_pref(browser.newtab.url, hxxp://search.swagbucks.com/?f=51);
user_pref(browser.startup.homepage, hxxps://www.malwarebytes.org/restorebrowser//?s=toshibaupd&m=start|hxxp://search.swagbucks.com/?f=51);

PUP.Optional.YourTV, C:\Users\ACER5560-Thielemans\AppData\Roaming\Mozilla\Firefox\Profiles\l3e9hbkn.default-1434567525053\prefs.js, Goed: (user_pref("browser.startup.homepage", "https://www.malwarebytes.org/restorebrowser/), Slecht: (user_pref("browser.startup.homepage", "http://yourtv.link), Vervangen,[2dd4adc7afeb58dee9a6336c9d6706fa]

PUP.Optional.Conduit, C:\Users\Privat\AppData\Roaming\Mozilla\Firefox\Profiles\bmb8wkb8.Firefox 3.6\prefs.js, Gut: (user_pref("browser.startup.homepage", "https://www.malwarebytes.org/restorebrowser/), Schlecht: (user_pref("browser.startup.homepage", "http://search.conduit.com), ,[58976924b1e801358e191e3711f404fc]

PUP.Optional.Conduit, C:\Users\Privat\AppData\Roaming\Mozilla\Firefox\Profiles\ubh8isc1.FF-3.6-mini\prefs.js, Gut: (user_pref("browser.startup.homepage", "https://www.malwarebytes.org/restorebrowser/), Schlecht: (user_pref("browser.startup.homepage", "http://search.conduit.com), ,[6c83a8e5aeeb76c08027e86d54b18e72]


<file><path>C:\Users\MVoltz\AppData\Roaming\Mozilla\Firefox\Profiles\53dt0g2y.default\prefs.js</path><vendor>PUP.Optional.ASK</vendor><action>replaced</action><baddata>user_pref("browser.startup.homepage", "hxxp://home.tb.ask.com</baddata><gooddata>user_pref("browser.startup.homepage", "https://www.malwarebytes.org/restorebrowser/</gooddata><hash>2f81cd792d6d60d69187b2eda460c937</hash></file>
</items>


PUP.Optional.HomePageHelper, C:\Users\craig\AppData\Roaming\Mozilla\Firefox\Profiles\y0akowxd.default\prefs.js, Good: (user_pref("browser.startup.homepage", "https://www.malwarebytes.org/restorebrowser/), Bad: (user_pref("browser.startup.homepage", "http://homepage-web.com), ,[3bac3b00abee4fe7d89207e29c6829d7]

user_pref(browser.startup.homepage, hxxps://www.malwarebytes.org/restorebrowser//?s=toshibaupd&m=start|hxxp://search.swagbucks.com/?f=51);

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

AVCrypt. Шифровальщик

https://www.comss.ru/page.php?id=4934

https://www.bleepingcomputer.com/news/security/the-avcrypt-ransomware-tries-to-uninstall-your-av-software/

Согласно результатам анализа шифровальщика, AVCrypt пытается не только удалить существующую антивирусную защиту перед шифрованием файловой системы, но также удаляет несколько важных служб Windows:

Исследователи признают, что такого способа нейтрализации антивирусной защиты они еще не встречали.

----------

Я это к тому пишу, что потребуется выявлять и восстанавливать повреждённые записи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

×