Перейти к содержанию

Recommended Posts

santy

а товарищ в теме, похоже имеет отношение к этой теме.

https://xakep.ru/2010/12/09/54255/

 

LOIC (Low Orbit Ion Cannon) — приложение, разработанное
хакерской группой 4Chan, созданное для организации DDoS атак на веб-сайты с
участием тысяч анонимных пользователей, пользующихся программой. Атаки
производятся на такие сайты как, например,

Цитата

Полное имя                  C:\USERS\FURRY\APPDATA\LOCAL\TEMP\7ZOCD9B689B\LOIC.EXE
Имя файла                   LOIC.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ] GPU
                           
www.virustotal.com          2018-10-12
BitDefender                 Application.Hacktool.US
Symantec                    Hacktool
ESET-NOD32                  a variant of MSIL/HackTool.LOIC.AF potentially unsafe
Kaspersky                   HEUR:HackTool.MSIL.Flooder.gen
Avast                       Win32:Loic-A [Trj]
DrWeb                       Tool.Flooder.81
Microsoft                   HackTool:MSIL/Uflooder.C!bit
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ] GPU
Процесс                     64-х битный
File_Id                     548BC9ED28000
Linker                      11.0
Размер                      136192 байт
Создан                      13.12.2014 в 08:09:12
Изменен                     13.10.2018 в 19:15:55
                           
TimeStamp                   13.12.2014 в 05:09:01
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            LOIC.exe
Версия файла                1.0.8.0
Описание                    Low Orbit Ion Cannon
Комментарий                 TCP/IP stress-test tool
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
pid = 13988                 DESKTOP-K4B0RPC\furry
CmdLine                     "C:\Users\furry\AppData\Local\Temp\7zOCD9B689B\LOIC.exe"
Процесс создан              19:15:58 [2018.10.13]
С момента создания          00:07:22
CPU                         1,86%
CPU (1 core)                14,89%
GPU 1                       0,00%
parentid = 2524             F:\PROGRAM FILES\7-ZIP\7ZFM.EXE
CLOSE_WAIT                  213.141.136.202:49152 <-> 90.156.201.83:80
CLOSE_WAIT                  213.141.136.202:49153 <-> 90.156.201.83:80
CLOSE_WAIT                  213.141.136.202:49154 <-> 90.156.201.83:80
CLOSE_WAIT                  213.141.136.202:49155 <-> 90.156.201.83:80
CLOSE_WAIT                  213.141.136.202:49156 <-> 90.156.201.83:80
CLOSE_WAIT                  213.141.136.202:49157 <-> 90.156.201.83:80
CLOSE_WAIT                  213.141.136.202:49158 <-> 90.156.201.83:80
CLOSE_WAIT                  213.141.136.202:49159 <-> 90.156.201.83:80
CLOSE_WAIT                  213.141.136.202:49160 <-> 90.156.201.83:80

SHA1                        4C85973D612CD1955163C244C9C334D3A0C507CB
MD5                         E6FA3028CD03318496852718143D256F
                           
Образы                      EXE и DLL
LOIC.EXE                    C:\USERS\FURRY\APPDATA\LOCAL\TEMP\7ZOCD9B689B
                           

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

пожалуй стоит добавить команде OFFSGNSAVE функционала - выгрузка пользовательской базы сигнатур на время исполнения скрипта во избежании проблем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

А насколько верно uVS работает с ЭЦП

тема:

https://forum.esetnod32.ru/forum6/topic15013/

Обычно на V.T.  можно видеть:  Signature verification Signed file, verified signature

А здесь мы видим только запись:  Trusted Source

И FRST  не пишет, что это Microsoft Corporation а только ( )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
30 минут назад, PR55.RP55 сказал:

А насколько верно uVS работает с ЭЦП

uVS транслирует то что сообщает система.

30 минут назад, PR55.RP55 сказал:

Обычно на V.T.  можно видеть:  Signature verification Signed file, verified signature

Для встроенных ЭЦП.

31 минут назад, PR55.RP55 сказал:

А здесь мы видим только запись:  Trusted Source

А это для внешних ЭЦП, видимо каталоги у них как-то обновляются, плюс им.
 

32 минут назад, PR55.RP55 сказал:

И FRST  не пишет, что это Microsoft Corporation а только ( )

Это проблема FRST.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Вот была добавлена активность: CPU/GPU

Скажем есть три родственных процесса и каждый жрёт по +-20%  

21+28+23 = 72%

В системе сотни активных процессов оператор, что должен их все просмотреть, каждый по очереди, открывая для сотен объектов: Инфо. ?

Это же...

Вот если бы в меню добавить чек бокс\ы:  [ v ] 

Отображать данные CPU   [ v ] 

Отображать данные GPU  [ v ] 

Отдельные колонки с данными - Тогда другое дело.

А так, это всё для галочки, что есть, что нет.

---------

Или отдельную категорию: "Данные  CPU/GPU" где и будут  колонки с информацией.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
7 часов назад, PR55.RP55 сказал:

В системе сотни активных процессов оператор, что должен их все просмотреть, каждый по очереди, открывая для сотен объектов: Инфо. ?

зачем? можно просто нажать alt+d и посмотреть
при работе же с образом можно добавить статичный, или даже динамический снимок за последние неск. секунд, но это повлечет за собой смену формата образа со всеми вытекающими.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

" повлечет за собой смену формата образа "

До этого формат несколько раз менялся и это только пошло на пользу.

Возможно: alt+d  стоит добавить в меню - например в Дополнительно.

Компьютеры...

Информация о компьютере...

Активность процессов ( alt+d )...

------------------------

" добавить статичный, или даже динамический снимок "

Предлагаю при создании образа автозапуска производить серию замеров и выводить средний % для процесса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
3 часа назад, PR55.RP55 сказал:

Возможно: alt+d  стоит добавить в меню - например в Дополнительно

оно и так в меню есть
 

3 часа назад, PR55.RP55 сказал:

Предлагаю при создании образа автозапуска производить серию замеров и выводить средний % для процесса.

что бы образ создавался еще дольше? xD
я подумаю :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

" что бы образ создавался еще дольше "

Поэтому я и предлагаю по умолчанию добавить в программу:  wdsl

Для процессов с корреляцией  wdsl  - замер производить однократно.

Для процессов вне корреляции  wdsl производить серию замеров и выводить средний % для процесса.

У всякого процесса может быть некий скачок... А усреднённый показатель будет более информативен.

Или же производить серию замеров только для  GPU

------------

Да и работа с wdsl  позволит при выполнении скрипта\очереди команд  выгружать объекты выборочно, что позволит предотвратить накладки. Время затраченное на проверку ЭЦП компенсируется минимальным перечнем выгружаемых объектов.

ЭЦП опять же проверяется выборочно - только для тех объектов которые uVS  предварительно назначил к выгрузке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
18 минут назад, PR55.RP55 сказал:

" что бы образ создавался еще дольше "

Поэтому я и предлагаю по умолчанию добавить в программу:  wdsl 

вообще то это была шутка :D
 

19 минут назад, PR55.RP55 сказал:

а и работа с wdsl  позволит при выполнении скрипта\очереди команд  выгружать объекты выборочно

А этого не будет, я уже это сказал ранее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Насчет отображения всех сертификатов, что использованы в ЭЦП я еще подумаю, ну а пока исправление редкой критической ошибки.
---------------------------------------------------------
 4.1.1
---------------------------------------------------------
 o Исправлена критическая ошибка при работе с удаленной системой возникающая при отдаче команды на удаление ссылок на все отсутствующие объекты,
   если установлен флаг bNetFastLoad и список автозапуска еще ни разу не загружался.

 o В окно информации о файле добавлено время последнего запуска некоторых файлов (в основном тех что запускал пользователь).
   Только для новых билдов Windows 10.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Полное имя                  C:\PROGRAM FILES/NVIDIA CORPORATION/DISPLAY/NVTRAY.EXE
Имя файла                   PROGRAM FILES/NVIDIA CORPORATION/DISPLAY/NVTRAY.EXE
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
                            
Доп. информация             на момент обновления списка
CmdLine                     "C:/Program Files/NVIDIA Corporation/Display/nvtray.exe" -user_has_logged_in 1
 ---------------------

Было несколько образов  с аналогичными данными.

Как видно Инфо. в несколько усечённом виде.

----------------------------

" Насчет отображения всех сертификатов, что использованы в ЭЦП "

И как я помню в наших любимых драйверах от NVIDIA два сертификата.

         

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Получается, что по файлу есть две записи.

Полное имя                  C:\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVTRAY.EXE
Имя файла                   NVTRAY.EXE
Тек. статус                 АКТИВНЫЙ ПРОВЕРЕННЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ]
                            
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПРОВЕРЕННЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ]
Процесс                     32-х битный
File_Id                     506B36F01C4000
Linker                      10.0
Размер                      1820520 байт
Создан                      25.01.2013 в 17:04:40
Изменен                     03.10.2012 в 06:28:55
                            
TimeStamp                   02.10.2012 в 18:48:16
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано NVIDIA Corporation
                            
Оригинальное имя            nvtray.exe
Версия файла                7.17.13.0697
Версия продукта             7.17.13.0697
Описание                    NVIDIA Settings
Производитель               NVIDIA Corporation
                            
Доп. информация             на момент обновления списка
pid = 3020                  USER01-PC\USER01
CmdLine                     "C:/Program Files/NVIDIA Corporation/Display/nvtray.exe" -user_has_logged_in 1
Процесс создан              21:14:29 [2018.10.16]
С момента создания          01:02:58
CPU                         0,00%
CPU (1 core)                0,00%
parentid = 1424             C:\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVXDSYNC.EXE
UDP                         127.0.0.1:48001
SHA1                        99F3E0CA5C45ED5061E0131ABC12758F051A795F
MD5                         D610CDEDF1F702EB0A86B0FBD9BB49E5
                            
Ссылки на объект            
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
                            
Образы                      EXE и DLL
NVTRAY.EXE                  C:\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY
                            
Загруженные DLL             ИЗВЕСТНЫЕ и ПРОВЕРЕННЫЕ
ADVAPI32.DLL                C:\WINDOWS\SYSTEM32
APISETSCHEMA.DLL            C:\WINDOWS\SYSTEM32
COMCTL32.DLL                C:\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_5.82.7601.17514_NONE_EC83DFFA859149AF
COMCTL32.DLL                C:\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_6.0.7601.17514_NONE_41E6975E2BD6F2B2
COMDLG32.DLL                C:\WINDOWS\SYSTEM32
CRTDLL.DLL                  C:\WINDOWS\SYSTEM32
DNSAPI.DLL                  C:\WINDOWS\SYSTEM32
DWMAPI.DLL                  C:\WINDOWS\SYSTEM32
EASYDAEMONAPIU.DLL          C:\PROGRAM FILES\NVIDIA CORPORATION\UPDATE COMMON
FWPUCLNT.DLL                C:\WINDOWS\SYSTEM32
GDI32.DLL                   C:\WINDOWS\SYSTEM32
GDIPLUS.DLL                 C:\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.GDIPLUS_6595B64144CCF1DF_1.1.7601.17825_NONE_72D273598668A06B
IMM32.DLL                   C:\WINDOWS\SYSTEM32
IPHLPAPI.DLL                C:\WINDOWS\SYSTEM32
KERNEL32.DLL                C:\WINDOWS\SYSTEM32
KERNELBASE.DLL              C:\WINDOWS\SYSTEM32
LPK.DLL                     C:\WINDOWS\SYSTEM32
MSCTF.DLL                   C:\WINDOWS\SYSTEM32
MSIMG32.DLL                 C:\WINDOWS\SYSTEM32
MSVCRT.DLL                  C:\WINDOWS\SYSTEM32
MSWSOCK.DLL                 C:\WINDOWS\SYSTEM32
NAPINSP.DLL                 C:\WINDOWS\SYSTEM32
NLAAPI.DLL                  C:\WINDOWS\SYSTEM32
NSI.DLL                     C:\WINDOWS\SYSTEM32
NTDLL.DLL                   C:\WINDOWS\SYSTEM32
NVUI.DLL                    C:\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY
NVUIR.DLL                   C:\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY
NVUPDT.DLL                  C:\PROGRAM FILES\NVIDIA CORPORATION\UPDATE COMMON
NVUPDTR.DLL                 C:\PROGRAM FILES\NVIDIA CORPORATION\UPDATE COMMON
OLE32.DLL                   C:\WINDOWS\SYSTEM32
OLEACC.DLL                  C:\WINDOWS\SYSTEM32
OLEAUT32.DLL                C:\WINDOWS\SYSTEM32
PNRPNSP.DLL                 C:\WINDOWS\SYSTEM32
PROFAPI.DLL                 C:\WINDOWS\SYSTEM32
RASADHLP.DLL                C:\WINDOWS\SYSTEM32
RPCRT4.DLL                  C:\WINDOWS\SYSTEM32
SECHOST.DLL                 C:\WINDOWS\SYSTEM32
SHELL32.DLL                 C:\WINDOWS\SYSTEM32
SHLWAPI.DLL                 C:\WINDOWS\SYSTEM32
TV_W32.DLL                  C:\PROGRAM FILES\TEAMVIEWER\VERSION8
USER32.DLL                  C:\WINDOWS\SYSTEM32
USERENV.DLL                 C:\WINDOWS\SYSTEM32
USP10.DLL                   C:\WINDOWS\SYSTEM32
UXTHEME.DLL                 C:\WINDOWS\SYSTEM32
VERSION.DLL                 C:\WINDOWS\SYSTEM32
WINMM.DLL                   C:\WINDOWS\SYSTEM32
WINNSI.DLL                  C:\WINDOWS\SYSTEM32
WINRNR.DLL                  C:\WINDOWS\SYSTEM32
WINSPOOL.DRV                C:\WINDOWS\SYSTEM32
WINSTA.DLL                  C:\WINDOWS\SYSTEM32
WS2_32.DLL                  C:\WINDOWS\SYSTEM32
WSHTCPIP.DLL                C:\WINDOWS\SYSTEM32
WTSAPI32.DLL                C:\WINDOWS\SYSTEM32
                            
Прочие файлы                отображенные в память
OLEACCRC.DLL                C:\WINDOWS\SYSTEM32
LOCALE.NLS                  C:\WINDOWS\SYSTEM32
SORTDEFAULT.NLS             C:\WINDOWS\GLOBALIZATION\SORTING

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Образ:  http://rgho.st/6XQWrPGf7

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Тема с WMI

http://www.tehnari.ru/f35/t261417/

здесь для ряда объектов:

Полное имя                  A3D.DLL
Имя файла                   A3D.DLL
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{442D12A1-2641-11d2-90FB-006008A1F441}\InprocServer32\
                            
Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{d8f1eee0-f634-11cf-8700-00a0245d918b}\InprocServer32\
------------------------------------

Полное имя                  A3DAPI.DLL
Имя файла                   A3DAPI.DLL
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{92FA2C24-253C-11d2-90FB-006008A1F441}\InprocServer32\
--------------------------------

Как-то маловато информации

Или нет ?

2) Хотелось бы, чтобы в новых версиях uVS присутствовали данные по: alt+d

Чтобы не было такого:

http://forum.esetnod32.ru/messages/forum6/topic15013/message104717/#message104717

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
5 часов назад, PR55.RP55 сказал:

A3D.DLL

посмотрю
 

5 часов назад, PR55.RP55 сказал:

2) Хотелось бы, чтобы в новых версиях uVS присутствовали данные по: alt+d

может и будет, а может и нет, посмотрим,  в теме скорее всего таки майнер, просто накрытый руткитом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
2 часа назад, demkd сказал:

таки майнер, просто накрытый руткитом

а здесь он точно есть. (помимо всего прочего). И странное дело, uVS его видит из нормального режима.
Boot.Galaxy.thumb.jpg.3477ef6adb298de582b672ebeb2bb807.jpg

Цитата

 

Полное имя                  MBR#0 [931,5GB]
Имя файла                   MBR#0 [931,5GB]
Тек. статус                 ?ВИРУС? ВИРУС загрузчик
                            
Обнаруженные сигнатуры      
Сигнатура                   Trojan.Boot.DarkGalaxy.a [Kaspersky] (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2018-09-14
                            
www.virustotal.com          Хэш НЕ найден на сервере.
www.virustotal.com          2018-10-20
Kaspersky                   Trojan.Boot.DarkGalaxy.a
DrWeb                       Trojan.NtRootKit.19689
                            
Сохраненная информация      на момент создания образа
Статус                      загрузчик
Размер                      440 байт
                            
Доп. информация             на момент обновления списка
SHA1                        70AF4248427B9FDB75AEB76CF5DB95D2FA55B803
                            
#BINOBJ#                    29DB29C0FA5317368926FE7BBCFE7B1E6660531F3EA1130424FC83E8403EA31304C1E0068EC0FC0E58C1E004E8000083E82F5E01C631FFB90001F3A51E066A0007B83C02B90300BA8000BB007ECD13071FBE047EBF0002E805000668BE00CB60BB008029ED29D229C029C94DE8030061C3A4E8400072FA41E83500E34073F983E903720688CCACF7D09531C9E8210011C9750841E8190073FB414181FD00F383D1018D03961E06061FF3A4071F96EBC2E8020011C901DB7504AD11C093C3B8AA55CD153D55AA7403E8350131D28EC2B80102B90200BA8000BB007CCD1366611F5CEA007C00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000002C4463FA42EBE500000001010007FEFFFF3F000000809D841E00FEFFFF07FEFFFFBF9D841E98E5691800FEFFFF07FEFFFF5783EE366AD6813D0000000000000000000000000000000055AA
                            

 

 

 

 

WIN-5CAGQT8ID9L_2018-10-18_10-05-40_v4.1.1.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

" alt+d может и будет, а может и нет, посмотрим. "

Здесь ещё минус - отсутствуют фильтры.

Нет фильтра по SHA1; WDLS и т.д.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dragokas

Объясните тёмному человеку, что такое WDLS ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

WDLS

Параметр в settings.ini
   [Settings]
   ; Включить поддержку белого списка ЭЦП.
     bUseWDSList (по умолчанию 0)

------------

   ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
   ; (файлы скрываются при запуске функции автоскрипт)
     ImgAutoHideVerified (по умолчанию 0)

----------

Это файл который вы сами составляете\дополняете из Инфо. файла.

Это список белых Электронно Цифровых Подписей.

Настройка позволяет считать проверенными не все ЭЦП, а только те которые были добавлены вами.

Например:  Действительна, подписано """Ask-Integrator"", Ltd."

Имеет легальную подпись - однако данной ЭЦП нет в списке  WDLS  файлы подписанные """Ask-Integrator"", Ltd."

не будут считаться проверенными.

--------

Сам файл в теме. :) wdsl.7z

* Если в категории:  " Белый список ЭЦП"  вы видите список - значит всё настроено верно.

Файл в приложении, расценивайте как образец. Что-то можно убавит, что-то добавить.

( с соблюдением кодировки )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

т.е.  в settings.ini

можно прописать так:

; Включить поддержку белого списка ЭЦП. (по умолчанию 0)
; Список хранится в файле wdsl, который представляет собой обычный текстовый файл в unicode ; ;  ; ; кодировке.
; Одна строка - одно имя, регистр важен.
bUseWDSList = 1
; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
; (файлы скрываются при запуске функции автоскрипт)
; Функция применима при работе с сигнатурами.
ImgAutoHideVerified = 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

@demkd, вот неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его. И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
В 20.10.2018 at 10:25 AM, santy сказал:
В 20.10.2018 at 8:27 AM, demkd сказал:

таки майнер, просто накрытый руткитом 

а здесь он точно есть. (помимо всего прочего). И странное дело, uVS его видит из нормального режима.
Boot.Galaxy.thumb.jpg.3477ef6adb298de582b672ebeb2bb807.jpg

в продолжении темы:

tdsskiller из нормального режима не увидел ничего опасного.

Цитата

14:23:51.0080 0x17fc  ================ Scan MBR ==================================
14:23:51.0094 0x17fc  [ F0E8AD2B40E1D992D417E0A725FA4322 ] \Device\Harddisk1\DR1
14:23:51.0146 0x17fc  \Device\Harddisk1\DR1 - ok
14:23:51.0148 0x17fc  [ 9AFF55EA6F6AFE25541A4D0BD1A055F2 ] \Device\Harddisk2\DR2
14:23:51.0512 0x17fc  \Device\Harddisk2\DR2 - ok
14:23:51.0515 0x17fc  [ A36C5E4F47E84449FF07ED3517B43A31 ] \Device\Harddisk0\DR0
14:23:51.0893 0x17fc  \Device\Harddisk0\DR0 - ok

uVS же видит руткита и в нормальном режиме (странно) и с лайф-диска. или руткиты уже не те? :).

 

http://www.tehnari.ru/f35/t261417/index2.html#post2605517

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
23 часов назад, alamor сказал:

И нельзя сразу из того же окна удалить его (или ссылки на него).

можно горячую клавишу сделать, но я не знаю как-то оно непрозрачно получается, ну нажал ее в очередь добавилось и тишина, выводить окно то же как-то...
 

1 час назад, santy сказал:

tdsskiller из нормального режима не увидел ничего опасного.

это же сканер, он не обязан видеть свежачки, да и ослепить его раз плюнуть как и любой антируткит, даже просто не дать загрузить драйвер в рантайме и все, прощай антируткиты.
 

1 час назад, santy сказал:

uVS же видит руткита и в нормальном режиме (странно) и с лайф-диска. или руткиты уже не те? :).

в неактивной он само собой все видит :) я не уверен, но скорее всего вряд ли можно как-то просочиться из uefi при загрузке с r/o носителя, а в активном да, руткиты копипастят, добавляют глюки, в uVS нет антируткита, если не считать антисплайсинг, но это так малополезная фича, поэтому он и не скрывался вот его и видно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
26 минут назад, demkd сказал:

И нельзя сразу из того же окна удалить его (или ссылки на него).

Для некоторых объектов в меню Инфо. предусмотрено удаление: " Удалить только сам файл"

Так почему бы не сделать доступным полный перечень команд ?

DELREF ; DELALL ; ZOO;  и т.д.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      На мой взгляд то, что Process Hacker выгружает антивирусы - явление нормальное, потому что Process Hacker - легитимная программа (по мнению некоторых вендоров -  потенциально опасная), а не троянская, и  команду на выгрузку антивируса даёт сам пользователь ( выбрав процесс в списке и нажимая "Terminate"), то есть это действие (завершение процесса, отвечающего за работу антивируса) санкционировано самим пользователем.
    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×