Перейти к содержанию

Recommended Posts

santy

а товарищ в теме, похоже имеет отношение к этой теме.

https://xakep.ru/2010/12/09/54255/

 

LOIC (Low Orbit Ion Cannon) — приложение, разработанное
хакерской группой 4Chan, созданное для организации DDoS атак на веб-сайты с
участием тысяч анонимных пользователей, пользующихся программой. Атаки
производятся на такие сайты как, например,

Цитата

Полное имя                  C:\USERS\FURRY\APPDATA\LOCAL\TEMP\7ZOCD9B689B\LOIC.EXE
Имя файла                   LOIC.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ] GPU
                           
www.virustotal.com          2018-10-12
BitDefender                 Application.Hacktool.US
Symantec                    Hacktool
ESET-NOD32                  a variant of MSIL/HackTool.LOIC.AF potentially unsafe
Kaspersky                   HEUR:HackTool.MSIL.Flooder.gen
Avast                       Win32:Loic-A [Trj]
DrWeb                       Tool.Flooder.81
Microsoft                   HackTool:MSIL/Uflooder.C!bit
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ] GPU
Процесс                     64-х битный
File_Id                     548BC9ED28000
Linker                      11.0
Размер                      136192 байт
Создан                      13.12.2014 в 08:09:12
Изменен                     13.10.2018 в 19:15:55
                           
TimeStamp                   13.12.2014 в 05:09:01
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            LOIC.exe
Версия файла                1.0.8.0
Описание                    Low Orbit Ion Cannon
Комментарий                 TCP/IP stress-test tool
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
pid = 13988                 DESKTOP-K4B0RPC\furry
CmdLine                     "C:\Users\furry\AppData\Local\Temp\7zOCD9B689B\LOIC.exe"
Процесс создан              19:15:58 [2018.10.13]
С момента создания          00:07:22
CPU                         1,86%
CPU (1 core)                14,89%
GPU 1                       0,00%
parentid = 2524             F:\PROGRAM FILES\7-ZIP\7ZFM.EXE
CLOSE_WAIT                  213.141.136.202:49152 <-> 90.156.201.83:80
CLOSE_WAIT                  213.141.136.202:49153 <-> 90.156.201.83:80
CLOSE_WAIT                  213.141.136.202:49154 <-> 90.156.201.83:80
CLOSE_WAIT                  213.141.136.202:49155 <-> 90.156.201.83:80
CLOSE_WAIT                  213.141.136.202:49156 <-> 90.156.201.83:80
CLOSE_WAIT                  213.141.136.202:49157 <-> 90.156.201.83:80
CLOSE_WAIT                  213.141.136.202:49158 <-> 90.156.201.83:80
CLOSE_WAIT                  213.141.136.202:49159 <-> 90.156.201.83:80
CLOSE_WAIT                  213.141.136.202:49160 <-> 90.156.201.83:80

SHA1                        4C85973D612CD1955163C244C9C334D3A0C507CB
MD5                         E6FA3028CD03318496852718143D256F
                           
Образы                      EXE и DLL
LOIC.EXE                    C:\USERS\FURRY\APPDATA\LOCAL\TEMP\7ZOCD9B689B
                           

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

пожалуй стоит добавить команде OFFSGNSAVE функционала - выгрузка пользовательской базы сигнатур на время исполнения скрипта во избежании проблем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

А насколько верно uVS работает с ЭЦП

тема:

https://forum.esetnod32.ru/forum6/topic15013/

Обычно на V.T.  можно видеть:  Signature verification Signed file, verified signature

А здесь мы видим только запись:  Trusted Source

И FRST  не пишет, что это Microsoft Corporation а только ( )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
30 минут назад, PR55.RP55 сказал:

А насколько верно uVS работает с ЭЦП

uVS транслирует то что сообщает система.

30 минут назад, PR55.RP55 сказал:

Обычно на V.T.  можно видеть:  Signature verification Signed file, verified signature

Для встроенных ЭЦП.

31 минут назад, PR55.RP55 сказал:

А здесь мы видим только запись:  Trusted Source

А это для внешних ЭЦП, видимо каталоги у них как-то обновляются, плюс им.
 

32 минут назад, PR55.RP55 сказал:

И FRST  не пишет, что это Microsoft Corporation а только ( )

Это проблема FRST.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Вот была добавлена активность: CPU/GPU

Скажем есть три родственных процесса и каждый жрёт по +-20%  

21+28+23 = 72%

В системе сотни активных процессов оператор, что должен их все просмотреть, каждый по очереди, открывая для сотен объектов: Инфо. ?

Это же...

Вот если бы в меню добавить чек бокс\ы:  [ v ] 

Отображать данные CPU   [ v ] 

Отображать данные GPU  [ v ] 

Отдельные колонки с данными - Тогда другое дело.

А так, это всё для галочки, что есть, что нет.

---------

Или отдельную категорию: "Данные  CPU/GPU" где и будут  колонки с информацией.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
7 часов назад, PR55.RP55 сказал:

В системе сотни активных процессов оператор, что должен их все просмотреть, каждый по очереди, открывая для сотен объектов: Инфо. ?

зачем? можно просто нажать alt+d и посмотреть
при работе же с образом можно добавить статичный, или даже динамический снимок за последние неск. секунд, но это повлечет за собой смену формата образа со всеми вытекающими.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

" повлечет за собой смену формата образа "

До этого формат несколько раз менялся и это только пошло на пользу.

Возможно: alt+d  стоит добавить в меню - например в Дополнительно.

Компьютеры...

Информация о компьютере...

Активность процессов ( alt+d )...

------------------------

" добавить статичный, или даже динамический снимок "

Предлагаю при создании образа автозапуска производить серию замеров и выводить средний % для процесса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
3 часа назад, PR55.RP55 сказал:

Возможно: alt+d  стоит добавить в меню - например в Дополнительно

оно и так в меню есть
 

3 часа назад, PR55.RP55 сказал:

Предлагаю при создании образа автозапуска производить серию замеров и выводить средний % для процесса.

что бы образ создавался еще дольше? xD
я подумаю :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

" что бы образ создавался еще дольше "

Поэтому я и предлагаю по умолчанию добавить в программу:  wdsl

Для процессов с корреляцией  wdsl  - замер производить однократно.

Для процессов вне корреляции  wdsl производить серию замеров и выводить средний % для процесса.

У всякого процесса может быть некий скачок... А усреднённый показатель будет более информативен.

Или же производить серию замеров только для  GPU

------------

Да и работа с wdsl  позволит при выполнении скрипта\очереди команд  выгружать объекты выборочно, что позволит предотвратить накладки. Время затраченное на проверку ЭЦП компенсируется минимальным перечнем выгружаемых объектов.

ЭЦП опять же проверяется выборочно - только для тех объектов которые uVS  предварительно назначил к выгрузке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
18 минут назад, PR55.RP55 сказал:

" что бы образ создавался еще дольше "

Поэтому я и предлагаю по умолчанию добавить в программу:  wdsl 

вообще то это была шутка :D
 

19 минут назад, PR55.RP55 сказал:

а и работа с wdsl  позволит при выполнении скрипта\очереди команд  выгружать объекты выборочно

А этого не будет, я уже это сказал ранее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Насчет отображения всех сертификатов, что использованы в ЭЦП я еще подумаю, ну а пока исправление редкой критической ошибки.
---------------------------------------------------------
 4.1.1
---------------------------------------------------------
 o Исправлена критическая ошибка при работе с удаленной системой возникающая при отдаче команды на удаление ссылок на все отсутствующие объекты,
   если установлен флаг bNetFastLoad и список автозапуска еще ни разу не загружался.

 o В окно информации о файле добавлено время последнего запуска некоторых файлов (в основном тех что запускал пользователь).
   Только для новых билдов Windows 10.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Полное имя                  C:\PROGRAM FILES/NVIDIA CORPORATION/DISPLAY/NVTRAY.EXE
Имя файла                   PROGRAM FILES/NVIDIA CORPORATION/DISPLAY/NVTRAY.EXE
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
                            
Доп. информация             на момент обновления списка
CmdLine                     "C:/Program Files/NVIDIA Corporation/Display/nvtray.exe" -user_has_logged_in 1
 ---------------------

Было несколько образов  с аналогичными данными.

Как видно Инфо. в несколько усечённом виде.

----------------------------

" Насчет отображения всех сертификатов, что использованы в ЭЦП "

И как я помню в наших любимых драйверах от NVIDIA два сертификата.

         

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Получается, что по файлу есть две записи.

Полное имя                  C:\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVTRAY.EXE
Имя файла                   NVTRAY.EXE
Тек. статус                 АКТИВНЫЙ ПРОВЕРЕННЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ]
                            
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПРОВЕРЕННЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ]
Процесс                     32-х битный
File_Id                     506B36F01C4000
Linker                      10.0
Размер                      1820520 байт
Создан                      25.01.2013 в 17:04:40
Изменен                     03.10.2012 в 06:28:55
                            
TimeStamp                   02.10.2012 в 18:48:16
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано NVIDIA Corporation
                            
Оригинальное имя            nvtray.exe
Версия файла                7.17.13.0697
Версия продукта             7.17.13.0697
Описание                    NVIDIA Settings
Производитель               NVIDIA Corporation
                            
Доп. информация             на момент обновления списка
pid = 3020                  USER01-PC\USER01
CmdLine                     "C:/Program Files/NVIDIA Corporation/Display/nvtray.exe" -user_has_logged_in 1
Процесс создан              21:14:29 [2018.10.16]
С момента создания          01:02:58
CPU                         0,00%
CPU (1 core)                0,00%
parentid = 1424             C:\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVXDSYNC.EXE
UDP                         127.0.0.1:48001
SHA1                        99F3E0CA5C45ED5061E0131ABC12758F051A795F
MD5                         D610CDEDF1F702EB0A86B0FBD9BB49E5
                            
Ссылки на объект            
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
                            
Образы                      EXE и DLL
NVTRAY.EXE                  C:\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY
                            
Загруженные DLL             ИЗВЕСТНЫЕ и ПРОВЕРЕННЫЕ
ADVAPI32.DLL                C:\WINDOWS\SYSTEM32
APISETSCHEMA.DLL            C:\WINDOWS\SYSTEM32
COMCTL32.DLL                C:\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_5.82.7601.17514_NONE_EC83DFFA859149AF
COMCTL32.DLL                C:\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_6.0.7601.17514_NONE_41E6975E2BD6F2B2
COMDLG32.DLL                C:\WINDOWS\SYSTEM32
CRTDLL.DLL                  C:\WINDOWS\SYSTEM32
DNSAPI.DLL                  C:\WINDOWS\SYSTEM32
DWMAPI.DLL                  C:\WINDOWS\SYSTEM32
EASYDAEMONAPIU.DLL          C:\PROGRAM FILES\NVIDIA CORPORATION\UPDATE COMMON
FWPUCLNT.DLL                C:\WINDOWS\SYSTEM32
GDI32.DLL                   C:\WINDOWS\SYSTEM32
GDIPLUS.DLL                 C:\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.GDIPLUS_6595B64144CCF1DF_1.1.7601.17825_NONE_72D273598668A06B
IMM32.DLL                   C:\WINDOWS\SYSTEM32
IPHLPAPI.DLL                C:\WINDOWS\SYSTEM32
KERNEL32.DLL                C:\WINDOWS\SYSTEM32
KERNELBASE.DLL              C:\WINDOWS\SYSTEM32
LPK.DLL                     C:\WINDOWS\SYSTEM32
MSCTF.DLL                   C:\WINDOWS\SYSTEM32
MSIMG32.DLL                 C:\WINDOWS\SYSTEM32
MSVCRT.DLL                  C:\WINDOWS\SYSTEM32
MSWSOCK.DLL                 C:\WINDOWS\SYSTEM32
NAPINSP.DLL                 C:\WINDOWS\SYSTEM32
NLAAPI.DLL                  C:\WINDOWS\SYSTEM32
NSI.DLL                     C:\WINDOWS\SYSTEM32
NTDLL.DLL                   C:\WINDOWS\SYSTEM32
NVUI.DLL                    C:\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY
NVUIR.DLL                   C:\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY
NVUPDT.DLL                  C:\PROGRAM FILES\NVIDIA CORPORATION\UPDATE COMMON
NVUPDTR.DLL                 C:\PROGRAM FILES\NVIDIA CORPORATION\UPDATE COMMON
OLE32.DLL                   C:\WINDOWS\SYSTEM32
OLEACC.DLL                  C:\WINDOWS\SYSTEM32
OLEAUT32.DLL                C:\WINDOWS\SYSTEM32
PNRPNSP.DLL                 C:\WINDOWS\SYSTEM32
PROFAPI.DLL                 C:\WINDOWS\SYSTEM32
RASADHLP.DLL                C:\WINDOWS\SYSTEM32
RPCRT4.DLL                  C:\WINDOWS\SYSTEM32
SECHOST.DLL                 C:\WINDOWS\SYSTEM32
SHELL32.DLL                 C:\WINDOWS\SYSTEM32
SHLWAPI.DLL                 C:\WINDOWS\SYSTEM32
TV_W32.DLL                  C:\PROGRAM FILES\TEAMVIEWER\VERSION8
USER32.DLL                  C:\WINDOWS\SYSTEM32
USERENV.DLL                 C:\WINDOWS\SYSTEM32
USP10.DLL                   C:\WINDOWS\SYSTEM32
UXTHEME.DLL                 C:\WINDOWS\SYSTEM32
VERSION.DLL                 C:\WINDOWS\SYSTEM32
WINMM.DLL                   C:\WINDOWS\SYSTEM32
WINNSI.DLL                  C:\WINDOWS\SYSTEM32
WINRNR.DLL                  C:\WINDOWS\SYSTEM32
WINSPOOL.DRV                C:\WINDOWS\SYSTEM32
WINSTA.DLL                  C:\WINDOWS\SYSTEM32
WS2_32.DLL                  C:\WINDOWS\SYSTEM32
WSHTCPIP.DLL                C:\WINDOWS\SYSTEM32
WTSAPI32.DLL                C:\WINDOWS\SYSTEM32
                            
Прочие файлы                отображенные в память
OLEACCRC.DLL                C:\WINDOWS\SYSTEM32
LOCALE.NLS                  C:\WINDOWS\SYSTEM32
SORTDEFAULT.NLS             C:\WINDOWS\GLOBALIZATION\SORTING

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Образ:  http://rgho.st/6XQWrPGf7

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Тема с WMI

http://www.tehnari.ru/f35/t261417/

здесь для ряда объектов:

Полное имя                  A3D.DLL
Имя файла                   A3D.DLL
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{442D12A1-2641-11d2-90FB-006008A1F441}\InprocServer32\
                            
Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{d8f1eee0-f634-11cf-8700-00a0245d918b}\InprocServer32\
------------------------------------

Полное имя                  A3DAPI.DLL
Имя файла                   A3DAPI.DLL
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{92FA2C24-253C-11d2-90FB-006008A1F441}\InprocServer32\
--------------------------------

Как-то маловато информации

Или нет ?

2) Хотелось бы, чтобы в новых версиях uVS присутствовали данные по: alt+d

Чтобы не было такого:

http://forum.esetnod32.ru/messages/forum6/topic15013/message104717/#message104717

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
5 часов назад, PR55.RP55 сказал:

A3D.DLL

посмотрю
 

5 часов назад, PR55.RP55 сказал:

2) Хотелось бы, чтобы в новых версиях uVS присутствовали данные по: alt+d

может и будет, а может и нет, посмотрим,  в теме скорее всего таки майнер, просто накрытый руткитом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
2 часа назад, demkd сказал:

таки майнер, просто накрытый руткитом

а здесь он точно есть. (помимо всего прочего). И странное дело, uVS его видит из нормального режима.
Boot.Galaxy.thumb.jpg.3477ef6adb298de582b672ebeb2bb807.jpg

Цитата

 

Полное имя                  MBR#0 [931,5GB]
Имя файла                   MBR#0 [931,5GB]
Тек. статус                 ?ВИРУС? ВИРУС загрузчик
                            
Обнаруженные сигнатуры      
Сигнатура                   Trojan.Boot.DarkGalaxy.a [Kaspersky] (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2018-09-14
                            
www.virustotal.com          Хэш НЕ найден на сервере.
www.virustotal.com          2018-10-20
Kaspersky                   Trojan.Boot.DarkGalaxy.a
DrWeb                       Trojan.NtRootKit.19689
                            
Сохраненная информация      на момент создания образа
Статус                      загрузчик
Размер                      440 байт
                            
Доп. информация             на момент обновления списка
SHA1                        70AF4248427B9FDB75AEB76CF5DB95D2FA55B803
                            
#BINOBJ#                   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
                            

 

 

 

 

WIN-5CAGQT8ID9L_2018-10-18_10-05-40_v4.1.1.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

" alt+d может и будет, а может и нет, посмотрим. "

Здесь ещё минус - отсутствуют фильтры.

Нет фильтра по SHA1; WDLS и т.д.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dragokas

Объясните тёмному человеку, что такое WDLS ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

WDLS

Параметр в settings.ini
   [Settings]
   ; Включить поддержку белого списка ЭЦП.
     bUseWDSList (по умолчанию 0)

------------

   ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
   ; (файлы скрываются при запуске функции автоскрипт)
     ImgAutoHideVerified (по умолчанию 0)

----------

Это файл который вы сами составляете\дополняете из Инфо. файла.

Это список белых Электронно Цифровых Подписей.

Настройка позволяет считать проверенными не все ЭЦП, а только те которые были добавлены вами.

Например:  Действительна, подписано """Ask-Integrator"", Ltd."

Имеет легальную подпись - однако данной ЭЦП нет в списке  WDLS  файлы подписанные """Ask-Integrator"", Ltd."

не будут считаться проверенными.

--------

Сам файл в теме. :) wdsl.7z

* Если в категории:  " Белый список ЭЦП"  вы видите список - значит всё настроено верно.

Файл в приложении, расценивайте как образец. Что-то можно убавит, что-то добавить.

( с соблюдением кодировки )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

т.е.  в settings.ini

можно прописать так:

; Включить поддержку белого списка ЭЦП. (по умолчанию 0)
; Список хранится в файле wdsl, который представляет собой обычный текстовый файл в unicode ; ;  ; ; кодировке.
; Одна строка - одно имя, регистр важен.
bUseWDSList = 1
; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
; (файлы скрываются при запуске функции автоскрипт)
; Функция применима при работе с сигнатурами.
ImgAutoHideVerified = 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

@demkd, вот неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его. И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
В 20.10.2018 at 10:25 AM, santy сказал:
В 20.10.2018 at 8:27 AM, demkd сказал:

таки майнер, просто накрытый руткитом 

а здесь он точно есть. (помимо всего прочего). И странное дело, uVS его видит из нормального режима.
Boot.Galaxy.thumb.jpg.3477ef6adb298de582b672ebeb2bb807.jpg

в продолжении темы:

tdsskiller из нормального режима не увидел ничего опасного.

Цитата

14:23:51.0080 0x17fc  ================ Scan MBR ==================================
14:23:51.0094 0x17fc  [ F0E8AD2B40E1D992D417E0A725FA4322 ] \Device\Harddisk1\DR1
14:23:51.0146 0x17fc  \Device\Harddisk1\DR1 - ok
14:23:51.0148 0x17fc  [ 9AFF55EA6F6AFE25541A4D0BD1A055F2 ] \Device\Harddisk2\DR2
14:23:51.0512 0x17fc  \Device\Harddisk2\DR2 - ok
14:23:51.0515 0x17fc  [ A36C5E4F47E84449FF07ED3517B43A31 ] \Device\Harddisk0\DR0
14:23:51.0893 0x17fc  \Device\Harddisk0\DR0 - ok

uVS же видит руткита и в нормальном режиме (странно) и с лайф-диска. или руткиты уже не те? :).

 

http://www.tehnari.ru/f35/t261417/index2.html#post2605517

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
23 часов назад, alamor сказал:

И нельзя сразу из того же окна удалить его (или ссылки на него).

можно горячую клавишу сделать, но я не знаю как-то оно непрозрачно получается, ну нажал ее в очередь добавилось и тишина, выводить окно то же как-то...
 

1 час назад, santy сказал:

tdsskiller из нормального режима не увидел ничего опасного.

это же сканер, он не обязан видеть свежачки, да и ослепить его раз плюнуть как и любой антируткит, даже просто не дать загрузить драйвер в рантайме и все, прощай антируткиты.
 

1 час назад, santy сказал:

uVS же видит руткита и в нормальном режиме (странно) и с лайф-диска. или руткиты уже не те? :).

в неактивной он само собой все видит :) я не уверен, но скорее всего вряд ли можно как-то просочиться из uefi при загрузке с r/o носителя, а в активном да, руткиты копипастят, добавляют глюки, в uVS нет антируткита, если не считать антисплайсинг, но это так малополезная фича, поэтому он и не скрывался вот его и видно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
26 минут назад, demkd сказал:

И нельзя сразу из того же окна удалить его (или ссылки на него).

Для некоторых объектов в меню Инфо. предусмотрено удаление: " Удалить только сам файл"

Так почему бы не сделать доступным полный перечень команд ?

DELREF ; DELALL ; ZOO;  и т.д.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • AM_Bot
      Утилита Avast Driver Updater позволяет автоматизировать регулярное обновление аппаратных драйверов для поддержания операционной системы Windows в стабильном состоянии. Avast Driver Updater проверяет обновления в реальном времени по онлайн-базе 500 000 драйверов и делает регулярные обновления простыми для пользователей. ВведениеФункциональные возможности Avast Driver UpdaterСистемные требования Avast Driver UpdaterУстановка и активацияРабота с Avast Driver Updater5.1. Сканирование5.2. Обновление5.3. Безопасность использования системы5.4. Создание резервных копий и восстановление драйверовВыводы ВведениеВо многих случаях аварийные отказы операционной системы происходят из-за ошибок в драйверах устройств. Устаревшие или отсутствующие драйверы способны вызвать массу проблем в работоспособности системы — от замедления скорости работы программного обеспечения до проблем совместимости оборудования и постоянного вылета в синий экран смерти (BSOD). Хотя производители аппаратуры регулярно выпускают обновления, которые позволяют использовать возможности компьютера более эффективно, многие пользователи не знают о них и годами пользуются устаревшими драйверами, смиряясь с ошибками системы. Кроме того, в регулярных обновлениях нуждаются и безошибочно работающие драйверы для обеспечения совместимости с новыми модификациями операционной системы и смежным оборудованием.Avast Driver Updater призван решить проблему регулярного обновления драйверов оборудования для операционной системы Windows. В базе утилиты более 500 000 драйверов — этого достаточно для поддержания актуальности не только популярных аудио- и видеокарт, микрофонов и принтеров, но и для исправления ошибок совместимости при использовании старых компьютеров. Функциональные возможности Avast Driver UpdaterAvast Driver Updater сканирует реестр Windows для определения конфигурации системы и необходимых для стабильной работы драйверов. В перечень определяемого оборудования входят принтеры, сканеры, цифровые камеры, видео- и сетевые адаптеры, а также звуковые и графические процессоры, устройства ввода, запоминающие устройства и их контроллеры, системные устройства и другие элементы системы.Ключевые функции Avast Driver Updater — это поиск последних версий драйверов для оборудования и их автоматическое обновление. Утилита также предложит обновить поврежденные или установить отсутствующие драйверы. Системные требования Avast Driver UpdaterAvast Driver Updater не требователен к ресурсам и будет работать практически на любом оборудовании. Вот минимальные требования, заявленные производителем: Windows XP/Vista/7/8/10 с последними пакетами обновлений (кроме версий Starter, RT, Mobile и IoT) базовая (32- или 64-разрядная версия);компьютер с процессором Intel Pentium 4 или AMD Athlon 64 (либо новее; необходима поддержка инструкций SSE2);256 МБ ОЗУ (или более);400 МБ свободного пространства на жестком диске;соединение с интернетом для загрузки, активации и обновления программы. Установка и активация Avast Driver UpdaterДля загрузки и активации программы требуется 400 МБ свободного пространства на жестком диске и соединение с интернетом. Разработчик предоставляет два варианта лицензии — бесплатная, только для проверки драйверов, и полная — с автоматической проверкой и возможностью установки обновлений. Стоимость полной версии на момент написания обзора — 850 р/год.Также утилиту можно установить в комплекте с Avast Antivirus. Работа с Avast Driver UpdaterПрограмма очень простая в использовании благодаря русскоязычному интерфейсу, который шаг за шагом ведет пользователя. При первом запуске Avast Driver Updater распознает оборудование и параметры системы. Прежде всего программа предложит запустить сканирование, чтобы автоматически выявить отсутствующие, неподходящие или устаревшие драйверы (рис. 1). Рисунок 1. Сканирование системы в Avast Driver Updater Среди других функций Avast Driver Updater предлагает резервное копирование и восстановление драйверов, а также автоматический и запланированный поиск драйверов в определенное время или с определенной частотой.СканированиеПроцесс сканирования системы занимает несколько секунд. В результате сканирования Avast Driver Updater визуализирует актуальность драйверов в виде таблицы. Кроме того, программа сразу показывает список проблемных драйверов, в котором можно выбрать, какие необходимо обновить. К сожалению, программа не предоставляет информации о дате выпуска обновляемого драйвера. Скачать выбранные драйверы можно вручную по одному, либо отметить несколько для автоматического скачивания и обновления (рис. 2). Подсказок о критичности обновления каждого конкретного драйвера программа также не дает. Рисунок 2. Результаты сканирования в Avast Driver Updater  На этом этапе программа предложит ввести лицензионный ключ, чтобы скачать обновления. Пробная версия не позволяет скачать рекомендуемые драйверы через интерфейс программы (рис. 3). Рисунок 3. Активация программы Avast Driver Updater  Настроить периодическое сканирование можно в разделе Параметры ▸Планирование (рис. 4). Программа способна автоматически проверять наличие обновлений драйверов по выбранному расписанию — ежедневно или еженедельно. Рисунок 4. Настройка периодического сканирования в Avast Driver Updater ОбновлениеAvast Driver Updater использует собственную облачную технологию для обновления нескольких драйверов одновременно без потери скорости. Разработчик сотрудничает более чем со 100 крупнейшими производителями оборудования для поддержания базы в актуальном состоянии, скачивание производится с сайтов официальных источников.Перед началом установки программа автоматически создает резервные копии обновляемых драйверов и точку восстановления операционной системы (рис. 5). Рисунок 5. Автоматическое создание резервных копий перед началом обновления в Avast Driver Updater  Скорость обновления драйвера зависит от объема скачиваемых файлов — в нашем случае это заняло меньше минуты (рис. 6). Рисунок 6. Установка драйверов в Avast Driver Updater  Чтобы снизить риск конфликтов оборудования, драйверы устанавливаются поочередно. При установке нескольких обновлений сразу может потребоваться несколько раз перезагрузить компьютер. После каждой перезагрузки программа Avast Driver Updater будет запускаться и отображать оставшиеся обновления.Безопасность использования системыЕсть мнение, что использование автоматических систем обновления может привести к сбоям в стабильности системы, однако производитель Avast Driver Updater проработал и эти риски. Перед установкой новых драйверов Avast Driver Updater создает резервные копии обновляемых драйверов, а также точку восстановления операционной системы. Эти действия позволяют сделать возврат к предыдущей стабильно работающей версии, если что-то пойдет не так.Создание резервных копий и восстановление драйверовВ разделе Резервное копирование можно управлять резервными копиями установленных драйверов — настроить расположение по умолчанию, перенести копии в другое место или создать новые (рис. 7). Рисунок 7. Просмотр резервных копий драйверов в Avast Driver Updater  Такая функция дает определенные преимущества перед установкой обновлений вручную — повышает уровень безопасности процесса обновления, если пользователь не делает копии самостоятельно. Для бдительных пользователей, регулярно создающих точки восстановления, эта функция поможет избежать риска забыть сделать копии.Если необходимо восстановить ранее обновленные драйверы, можно загрузить их в соответствующем пункте меню. Кроме того, программу можно использовать для восстановления копии операционной системы из заранее сохраненной точки (рис. 8). Рисунок 8. Интерфейс восстановления версий драйверов и операционной системы в Avast Driver Updater  Выбрать расположение, куда сохранять и откуда будут автоматически восстанавливаться резервные копии, можно в разделе Параметры (рис. 9). Здесь же можно настроить, будет ли выполняться перезагрузка компьютера после восстановления из резервной копии. Рисунок 9. Настройка параметров резервного копирования в Avast Driver Updater  ВыводыПроверить актуальность драйверов можно и штатными средствами через панель управления Windows. Но поскольку это не очень удобно, регулярное обновление и поддержка драйверов устройств в актуальном состоянии часто становится непростой задачей и требует много времени, особенно для людей, которые не знакомы с тонкостями работы компьютера и операционной системы. Кроме того, источником обновлений в этом случае выступает Microsoft, а не производители оборудования, поэтому версия драйвера не всегда может быть актуальной.Тем не менее, регулярное обновление драйверов улучшает производительность компьютера — многие сбои и ошибки системы вызваны проблемами с устаревшими драйверами.Avast Driver Updater успешно справляется со своей главной задачей — сделать регулярные обновления драйверов простыми для пользователя. Программа проверит текущие установленные версии драйверов всех распространенных устройств и элементов системы. Наиболее эффективным решением будет настроить регулярную проверку обновлений, совпадающую с работой Центра обновления Windows — многие производители выпускают новые драйверы сразу после выходов новых пакетов обновлений операционной системы.Для сканирования в режиме реального времени используется динамическая онлайн-база драйверов с сайтов производителей. Avast Driver Updater покажет, какие обновления доступны, и, в платной версии, поможет их установить. Это гораздо удобнее, чем ручная проверка каждого драйвера устройств штатными средствами операционной системы.Преимущества: Большая база данных драйверов от различных производителей.Высокая скорость сканирования.Обновление всех устаревших драйверов одним нажатием.Поддержка всех популярных версий Windows XP/Vista/7/8/10.Автоматическое создание резервных копий драйверов и операционной системы для восстановления в случае возникновения проблем совместимости.Скачивание драйверов с официальных сайтов производителей оборудования.Недостатки:Необходимость несколько раз перегружать компьютер в процессе установки пакета драйверов вместо единой перезагрузки после всех обновлений.Ручное управление диалоговыми окнами установщиков драйверов.Нет информации о дате выпуска обновляемого драйвера.Достаточно высокая стоимость приложения.Тестовая версия не позволяет обновить драйверы. Читать далее
    • nsk-sergey
      Есть вариант установить рут-права и сделать то, что нужно с телефоном. Но может случиться так, что пере прошивки не избежать. 
    • demkd
      Это уже винда что-то не то вернула о свойствах процессора или время корректировалось.

      Небольшое обновление:
      Исправлен модуль startf, он не мог правильно определять версию Windows 10.
      Из-за чего после его запуска пропадали надписи на кнопках в окнах.
    • Ego Dekker
      ESET Cyber Security/ESET Cyber Security Pro были обновлены до версии 6.7.555.
    • stas.panov
      Объяснение очень доходчивое  и по делу. Большое спасибо за информацию и ссылки. 
×