Перейти к содержанию

Recommended Posts

santy

а товарищ в теме, похоже имеет отношение к этой теме.

https://xakep.ru/2010/12/09/54255/

 

LOIC (Low Orbit Ion Cannon) — приложение, разработанное
хакерской группой 4Chan, созданное для организации DDoS атак на веб-сайты с
участием тысяч анонимных пользователей, пользующихся программой. Атаки
производятся на такие сайты как, например,

Цитата

Полное имя                  C:\USERS\FURRY\APPDATA\LOCAL\TEMP\7ZOCD9B689B\LOIC.EXE
Имя файла                   LOIC.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ] GPU
                           
www.virustotal.com          2018-10-12
BitDefender                 Application.Hacktool.US
Symantec                    Hacktool
ESET-NOD32                  a variant of MSIL/HackTool.LOIC.AF potentially unsafe
Kaspersky                   HEUR:HackTool.MSIL.Flooder.gen
Avast                       Win32:Loic-A [Trj]
DrWeb                       Tool.Flooder.81
Microsoft                   HackTool:MSIL/Uflooder.C!bit
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ] GPU
Процесс                     64-х битный
File_Id                     548BC9ED28000
Linker                      11.0
Размер                      136192 байт
Создан                      13.12.2014 в 08:09:12
Изменен                     13.10.2018 в 19:15:55
                           
TimeStamp                   13.12.2014 в 05:09:01
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            LOIC.exe
Версия файла                1.0.8.0
Описание                    Low Orbit Ion Cannon
Комментарий                 TCP/IP stress-test tool
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
pid = 13988                 DESKTOP-K4B0RPC\furry
CmdLine                     "C:\Users\furry\AppData\Local\Temp\7zOCD9B689B\LOIC.exe"
Процесс создан              19:15:58 [2018.10.13]
С момента создания          00:07:22
CPU                         1,86%
CPU (1 core)                14,89%
GPU 1                       0,00%
parentid = 2524             F:\PROGRAM FILES\7-ZIP\7ZFM.EXE
CLOSE_WAIT                  213.141.136.202:49152 <-> 90.156.201.83:80
CLOSE_WAIT                  213.141.136.202:49153 <-> 90.156.201.83:80
CLOSE_WAIT                  213.141.136.202:49154 <-> 90.156.201.83:80
CLOSE_WAIT                  213.141.136.202:49155 <-> 90.156.201.83:80
CLOSE_WAIT                  213.141.136.202:49156 <-> 90.156.201.83:80
CLOSE_WAIT                  213.141.136.202:49157 <-> 90.156.201.83:80
CLOSE_WAIT                  213.141.136.202:49158 <-> 90.156.201.83:80
CLOSE_WAIT                  213.141.136.202:49159 <-> 90.156.201.83:80
CLOSE_WAIT                  213.141.136.202:49160 <-> 90.156.201.83:80

SHA1                        4C85973D612CD1955163C244C9C334D3A0C507CB
MD5                         E6FA3028CD03318496852718143D256F
                           
Образы                      EXE и DLL
LOIC.EXE                    C:\USERS\FURRY\APPDATA\LOCAL\TEMP\7ZOCD9B689B
                           

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

пожалуй стоит добавить команде OFFSGNSAVE функционала - выгрузка пользовательской базы сигнатур на время исполнения скрипта во избежании проблем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

А насколько верно uVS работает с ЭЦП

тема:

https://forum.esetnod32.ru/forum6/topic15013/

Обычно на V.T.  можно видеть:  Signature verification Signed file, verified signature

А здесь мы видим только запись:  Trusted Source

И FRST  не пишет, что это Microsoft Corporation а только ( )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
30 минут назад, PR55.RP55 сказал:

А насколько верно uVS работает с ЭЦП

uVS транслирует то что сообщает система.

30 минут назад, PR55.RP55 сказал:

Обычно на V.T.  можно видеть:  Signature verification Signed file, verified signature

Для встроенных ЭЦП.

31 минут назад, PR55.RP55 сказал:

А здесь мы видим только запись:  Trusted Source

А это для внешних ЭЦП, видимо каталоги у них как-то обновляются, плюс им.
 

32 минут назад, PR55.RP55 сказал:

И FRST  не пишет, что это Microsoft Corporation а только ( )

Это проблема FRST.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Вот была добавлена активность: CPU/GPU

Скажем есть три родственных процесса и каждый жрёт по +-20%  

21+28+23 = 72%

В системе сотни активных процессов оператор, что должен их все просмотреть, каждый по очереди, открывая для сотен объектов: Инфо. ?

Это же...

Вот если бы в меню добавить чек бокс\ы:  [ v ] 

Отображать данные CPU   [ v ] 

Отображать данные GPU  [ v ] 

Отдельные колонки с данными - Тогда другое дело.

А так, это всё для галочки, что есть, что нет.

---------

Или отдельную категорию: "Данные  CPU/GPU" где и будут  колонки с информацией.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
7 часов назад, PR55.RP55 сказал:

В системе сотни активных процессов оператор, что должен их все просмотреть, каждый по очереди, открывая для сотен объектов: Инфо. ?

зачем? можно просто нажать alt+d и посмотреть
при работе же с образом можно добавить статичный, или даже динамический снимок за последние неск. секунд, но это повлечет за собой смену формата образа со всеми вытекающими.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

" повлечет за собой смену формата образа "

До этого формат несколько раз менялся и это только пошло на пользу.

Возможно: alt+d  стоит добавить в меню - например в Дополнительно.

Компьютеры...

Информация о компьютере...

Активность процессов ( alt+d )...

------------------------

" добавить статичный, или даже динамический снимок "

Предлагаю при создании образа автозапуска производить серию замеров и выводить средний % для процесса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
3 часа назад, PR55.RP55 сказал:

Возможно: alt+d  стоит добавить в меню - например в Дополнительно

оно и так в меню есть
 

3 часа назад, PR55.RP55 сказал:

Предлагаю при создании образа автозапуска производить серию замеров и выводить средний % для процесса.

что бы образ создавался еще дольше? xD
я подумаю :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

" что бы образ создавался еще дольше "

Поэтому я и предлагаю по умолчанию добавить в программу:  wdsl

Для процессов с корреляцией  wdsl  - замер производить однократно.

Для процессов вне корреляции  wdsl производить серию замеров и выводить средний % для процесса.

У всякого процесса может быть некий скачок... А усреднённый показатель будет более информативен.

Или же производить серию замеров только для  GPU

------------

Да и работа с wdsl  позволит при выполнении скрипта\очереди команд  выгружать объекты выборочно, что позволит предотвратить накладки. Время затраченное на проверку ЭЦП компенсируется минимальным перечнем выгружаемых объектов.

ЭЦП опять же проверяется выборочно - только для тех объектов которые uVS  предварительно назначил к выгрузке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
18 минут назад, PR55.RP55 сказал:

" что бы образ создавался еще дольше "

Поэтому я и предлагаю по умолчанию добавить в программу:  wdsl 

вообще то это была шутка :D
 

19 минут назад, PR55.RP55 сказал:

а и работа с wdsl  позволит при выполнении скрипта\очереди команд  выгружать объекты выборочно

А этого не будет, я уже это сказал ранее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Насчет отображения всех сертификатов, что использованы в ЭЦП я еще подумаю, ну а пока исправление редкой критической ошибки.
---------------------------------------------------------
 4.1.1
---------------------------------------------------------
 o Исправлена критическая ошибка при работе с удаленной системой возникающая при отдаче команды на удаление ссылок на все отсутствующие объекты,
   если установлен флаг bNetFastLoad и список автозапуска еще ни разу не загружался.

 o В окно информации о файле добавлено время последнего запуска некоторых файлов (в основном тех что запускал пользователь).
   Только для новых билдов Windows 10.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Полное имя                  C:\PROGRAM FILES/NVIDIA CORPORATION/DISPLAY/NVTRAY.EXE
Имя файла                   PROGRAM FILES/NVIDIA CORPORATION/DISPLAY/NVTRAY.EXE
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
                            
Доп. информация             на момент обновления списка
CmdLine                     "C:/Program Files/NVIDIA Corporation/Display/nvtray.exe" -user_has_logged_in 1
 ---------------------

Было несколько образов  с аналогичными данными.

Как видно Инфо. в несколько усечённом виде.

----------------------------

" Насчет отображения всех сертификатов, что использованы в ЭЦП "

И как я помню в наших любимых драйверах от NVIDIA два сертификата.

         

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Получается, что по файлу есть две записи.

Полное имя                  C:\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVTRAY.EXE
Имя файла                   NVTRAY.EXE
Тек. статус                 АКТИВНЫЙ ПРОВЕРЕННЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ]
                            
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПРОВЕРЕННЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ]
Процесс                     32-х битный
File_Id                     506B36F01C4000
Linker                      10.0
Размер                      1820520 байт
Создан                      25.01.2013 в 17:04:40
Изменен                     03.10.2012 в 06:28:55
                            
TimeStamp                   02.10.2012 в 18:48:16
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано NVIDIA Corporation
                            
Оригинальное имя            nvtray.exe
Версия файла                7.17.13.0697
Версия продукта             7.17.13.0697
Описание                    NVIDIA Settings
Производитель               NVIDIA Corporation
                            
Доп. информация             на момент обновления списка
pid = 3020                  USER01-PC\USER01
CmdLine                     "C:/Program Files/NVIDIA Corporation/Display/nvtray.exe" -user_has_logged_in 1
Процесс создан              21:14:29 [2018.10.16]
С момента создания          01:02:58
CPU                         0,00%
CPU (1 core)                0,00%
parentid = 1424             C:\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVXDSYNC.EXE
UDP                         127.0.0.1:48001
SHA1                        99F3E0CA5C45ED5061E0131ABC12758F051A795F
MD5                         D610CDEDF1F702EB0A86B0FBD9BB49E5
                            
Ссылки на объект            
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
                            
Образы                      EXE и DLL
NVTRAY.EXE                  C:\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY
                            
Загруженные DLL             ИЗВЕСТНЫЕ и ПРОВЕРЕННЫЕ
ADVAPI32.DLL                C:\WINDOWS\SYSTEM32
APISETSCHEMA.DLL            C:\WINDOWS\SYSTEM32
COMCTL32.DLL                C:\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_5.82.7601.17514_NONE_EC83DFFA859149AF
COMCTL32.DLL                C:\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_6.0.7601.17514_NONE_41E6975E2BD6F2B2
COMDLG32.DLL                C:\WINDOWS\SYSTEM32
CRTDLL.DLL                  C:\WINDOWS\SYSTEM32
DNSAPI.DLL                  C:\WINDOWS\SYSTEM32
DWMAPI.DLL                  C:\WINDOWS\SYSTEM32
EASYDAEMONAPIU.DLL          C:\PROGRAM FILES\NVIDIA CORPORATION\UPDATE COMMON
FWPUCLNT.DLL                C:\WINDOWS\SYSTEM32
GDI32.DLL                   C:\WINDOWS\SYSTEM32
GDIPLUS.DLL                 C:\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.GDIPLUS_6595B64144CCF1DF_1.1.7601.17825_NONE_72D273598668A06B
IMM32.DLL                   C:\WINDOWS\SYSTEM32
IPHLPAPI.DLL                C:\WINDOWS\SYSTEM32
KERNEL32.DLL                C:\WINDOWS\SYSTEM32
KERNELBASE.DLL              C:\WINDOWS\SYSTEM32
LPK.DLL                     C:\WINDOWS\SYSTEM32
MSCTF.DLL                   C:\WINDOWS\SYSTEM32
MSIMG32.DLL                 C:\WINDOWS\SYSTEM32
MSVCRT.DLL                  C:\WINDOWS\SYSTEM32
MSWSOCK.DLL                 C:\WINDOWS\SYSTEM32
NAPINSP.DLL                 C:\WINDOWS\SYSTEM32
NLAAPI.DLL                  C:\WINDOWS\SYSTEM32
NSI.DLL                     C:\WINDOWS\SYSTEM32
NTDLL.DLL                   C:\WINDOWS\SYSTEM32
NVUI.DLL                    C:\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY
NVUIR.DLL                   C:\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY
NVUPDT.DLL                  C:\PROGRAM FILES\NVIDIA CORPORATION\UPDATE COMMON
NVUPDTR.DLL                 C:\PROGRAM FILES\NVIDIA CORPORATION\UPDATE COMMON
OLE32.DLL                   C:\WINDOWS\SYSTEM32
OLEACC.DLL                  C:\WINDOWS\SYSTEM32
OLEAUT32.DLL                C:\WINDOWS\SYSTEM32
PNRPNSP.DLL                 C:\WINDOWS\SYSTEM32
PROFAPI.DLL                 C:\WINDOWS\SYSTEM32
RASADHLP.DLL                C:\WINDOWS\SYSTEM32
RPCRT4.DLL                  C:\WINDOWS\SYSTEM32
SECHOST.DLL                 C:\WINDOWS\SYSTEM32
SHELL32.DLL                 C:\WINDOWS\SYSTEM32
SHLWAPI.DLL                 C:\WINDOWS\SYSTEM32
TV_W32.DLL                  C:\PROGRAM FILES\TEAMVIEWER\VERSION8
USER32.DLL                  C:\WINDOWS\SYSTEM32
USERENV.DLL                 C:\WINDOWS\SYSTEM32
USP10.DLL                   C:\WINDOWS\SYSTEM32
UXTHEME.DLL                 C:\WINDOWS\SYSTEM32
VERSION.DLL                 C:\WINDOWS\SYSTEM32
WINMM.DLL                   C:\WINDOWS\SYSTEM32
WINNSI.DLL                  C:\WINDOWS\SYSTEM32
WINRNR.DLL                  C:\WINDOWS\SYSTEM32
WINSPOOL.DRV                C:\WINDOWS\SYSTEM32
WINSTA.DLL                  C:\WINDOWS\SYSTEM32
WS2_32.DLL                  C:\WINDOWS\SYSTEM32
WSHTCPIP.DLL                C:\WINDOWS\SYSTEM32
WTSAPI32.DLL                C:\WINDOWS\SYSTEM32
                            
Прочие файлы                отображенные в память
OLEACCRC.DLL                C:\WINDOWS\SYSTEM32
LOCALE.NLS                  C:\WINDOWS\SYSTEM32
SORTDEFAULT.NLS             C:\WINDOWS\GLOBALIZATION\SORTING

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Образ:  http://rgho.st/6XQWrPGf7

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Тема с WMI

http://www.tehnari.ru/f35/t261417/

здесь для ряда объектов:

Полное имя                  A3D.DLL
Имя файла                   A3D.DLL
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{442D12A1-2641-11d2-90FB-006008A1F441}\InprocServer32\
                            
Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{d8f1eee0-f634-11cf-8700-00a0245d918b}\InprocServer32\
------------------------------------

Полное имя                  A3DAPI.DLL
Имя файла                   A3DAPI.DLL
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{92FA2C24-253C-11d2-90FB-006008A1F441}\InprocServer32\
--------------------------------

Как-то маловато информации

Или нет ?

2) Хотелось бы, чтобы в новых версиях uVS присутствовали данные по: alt+d

Чтобы не было такого:

http://forum.esetnod32.ru/messages/forum6/topic15013/message104717/#message104717

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
5 часов назад, PR55.RP55 сказал:

A3D.DLL

посмотрю
 

5 часов назад, PR55.RP55 сказал:

2) Хотелось бы, чтобы в новых версиях uVS присутствовали данные по: alt+d

может и будет, а может и нет, посмотрим,  в теме скорее всего таки майнер, просто накрытый руткитом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
2 часа назад, demkd сказал:

таки майнер, просто накрытый руткитом

а здесь он точно есть. (помимо всего прочего). И странное дело, uVS его видит из нормального режима.
Boot.Galaxy.thumb.jpg.3477ef6adb298de582b672ebeb2bb807.jpg

Цитата

 

Полное имя                  MBR#0 [931,5GB]
Имя файла                   MBR#0 [931,5GB]
Тек. статус                 ?ВИРУС? ВИРУС загрузчик
                            
Обнаруженные сигнатуры      
Сигнатура                   Trojan.Boot.DarkGalaxy.a [Kaspersky] (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2018-09-14
                            
www.virustotal.com          Хэш НЕ найден на сервере.
www.virustotal.com          2018-10-20
Kaspersky                   Trojan.Boot.DarkGalaxy.a
DrWeb                       Trojan.NtRootKit.19689
                            
Сохраненная информация      на момент создания образа
Статус                      загрузчик
Размер                      440 байт
                            
Доп. информация             на момент обновления списка
SHA1                        70AF4248427B9FDB75AEB76CF5DB95D2FA55B803
                            
#BINOBJ#                    29DB29C0FA5317368926FE7BBCFE7B1E6660531F3EA1130424FC83E8403EA31304C1E0068EC0FC0E58C1E004E8000083E82F5E01C631FFB90001F3A51E066A0007B83C02B90300BA8000BB007ECD13071FBE047EBF0002E805000668BE00CB60BB008029ED29D229C029C94DE8030061C3A4E8400072FA41E83500E34073F983E903720688CCACF7D09531C9E8210011C9750841E8190073FB414181FD00F383D1018D03961E06061FF3A4071F96EBC2E8020011C901DB7504AD11C093C3B8AA55CD153D55AA7403E8350131D28EC2B80102B90200BA8000BB007CCD1366611F5CEA007C00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000002C4463FA42EBE500000001010007FEFFFF3F000000809D841E00FEFFFF07FEFFFFBF9D841E98E5691800FEFFFF07FEFFFF5783EE366AD6813D0000000000000000000000000000000055AA
                            

 

 

 

 

WIN-5CAGQT8ID9L_2018-10-18_10-05-40_v4.1.1.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

" alt+d может и будет, а может и нет, посмотрим. "

Здесь ещё минус - отсутствуют фильтры.

Нет фильтра по SHA1; WDLS и т.д.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dragokas

Объясните тёмному человеку, что такое WDLS ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

WDLS

Параметр в settings.ini
   [Settings]
   ; Включить поддержку белого списка ЭЦП.
     bUseWDSList (по умолчанию 0)

------------

   ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
   ; (файлы скрываются при запуске функции автоскрипт)
     ImgAutoHideVerified (по умолчанию 0)

----------

Это файл который вы сами составляете\дополняете из Инфо. файла.

Это список белых Электронно Цифровых Подписей.

Настройка позволяет считать проверенными не все ЭЦП, а только те которые были добавлены вами.

Например:  Действительна, подписано """Ask-Integrator"", Ltd."

Имеет легальную подпись - однако данной ЭЦП нет в списке  WDLS  файлы подписанные """Ask-Integrator"", Ltd."

не будут считаться проверенными.

--------

Сам файл в теме. :) wdsl.7z

* Если в категории:  " Белый список ЭЦП"  вы видите список - значит всё настроено верно.

Файл в приложении, расценивайте как образец. Что-то можно убавит, что-то добавить.

( с соблюдением кодировки )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

т.е.  в settings.ini

можно прописать так:

; Включить поддержку белого списка ЭЦП. (по умолчанию 0)
; Список хранится в файле wdsl, который представляет собой обычный текстовый файл в unicode ; ;  ; ; кодировке.
; Одна строка - одно имя, регистр важен.
bUseWDSList = 1
; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
; (файлы скрываются при запуске функции автоскрипт)
; Функция применима при работе с сигнатурами.
ImgAutoHideVerified = 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

@demkd, вот неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его. И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
В 20.10.2018 at 10:25 AM, santy сказал:
В 20.10.2018 at 8:27 AM, demkd сказал:

таки майнер, просто накрытый руткитом 

а здесь он точно есть. (помимо всего прочего). И странное дело, uVS его видит из нормального режима.
Boot.Galaxy.thumb.jpg.3477ef6adb298de582b672ebeb2bb807.jpg

в продолжении темы:

tdsskiller из нормального режима не увидел ничего опасного.

Цитата

14:23:51.0080 0x17fc  ================ Scan MBR ==================================
14:23:51.0094 0x17fc  [ F0E8AD2B40E1D992D417E0A725FA4322 ] \Device\Harddisk1\DR1
14:23:51.0146 0x17fc  \Device\Harddisk1\DR1 - ok
14:23:51.0148 0x17fc  [ 9AFF55EA6F6AFE25541A4D0BD1A055F2 ] \Device\Harddisk2\DR2
14:23:51.0512 0x17fc  \Device\Harddisk2\DR2 - ok
14:23:51.0515 0x17fc  [ A36C5E4F47E84449FF07ED3517B43A31 ] \Device\Harddisk0\DR0
14:23:51.0893 0x17fc  \Device\Harddisk0\DR0 - ok

uVS же видит руткита и в нормальном режиме (странно) и с лайф-диска. или руткиты уже не те? :).

 

http://www.tehnari.ru/f35/t261417/index2.html#post2605517

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
23 часов назад, alamor сказал:

И нельзя сразу из того же окна удалить его (или ссылки на него).

можно горячую клавишу сделать, но я не знаю как-то оно непрозрачно получается, ну нажал ее в очередь добавилось и тишина, выводить окно то же как-то...
 

1 час назад, santy сказал:

tdsskiller из нормального режима не увидел ничего опасного.

это же сканер, он не обязан видеть свежачки, да и ослепить его раз плюнуть как и любой антируткит, даже просто не дать загрузить драйвер в рантайме и все, прощай антируткиты.
 

1 час назад, santy сказал:

uVS же видит руткита и в нормальном режиме (странно) и с лайф-диска. или руткиты уже не те? :).

в неактивной он само собой все видит :) я не уверен, но скорее всего вряд ли можно как-то просочиться из uefi при загрузке с r/o носителя, а в активном да, руткиты копипастят, добавляют глюки, в uVS нет антируткита, если не считать антисплайсинг, но это так малополезная фича, поэтому он и не скрывался вот его и видно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
26 минут назад, demkd сказал:

И нельзя сразу из того же окна удалить его (или ссылки на него).

Для некоторых объектов в меню Инфо. предусмотрено удаление: " Удалить только сам файл"

Так почему бы не сделать доступным полный перечень команд ?

DELREF ; DELALL ; ZOO;  и т.д.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dilyaako
      Места для проведения девичников и мальчишников мы искали с помощью данного сайта  https://www.restoclub.ru/msk/search/restorany-dlja-devichnika-i-malchishnika-v-moskve . Мне понравилось, что тут правда есть очень много годных вариантов ресторанов уже сразу с фото и меню. Там же можно найти и всякие рестораны или кондитерские 
    • OliverInfum
      Сим-карта (SIM-карта, через англ. Subscriber Verification Module — модуль идентификации абонента) — идентификационный модуль абонента, применяемый в мобильной связи. сим карты оптом https://optom-sim.ru/ SIM-карты применяются в сетях GSM. Другие современные сотовые тенета обычно также применяют другие модули идентификации, обычно внешне схожие с SIM и выполняющие аналогичные функции — USIM в сетях UMTS, R-UIM в сетях CDMA и пр.В сетях 1G идентификацию абонента в тенета проводили сообразно заводскому номеру сотового телефона — ESN (Electronic Serial Integer). Таким образом, как сотовый телефон, беспричинно и абонент идентифицировались единым кодом. Такой подход порождал полную неволя номера абонента и пакета предоставляемых ему услуг через конкретного экземпляра телефона. Поменяв сотовый телефон (включая случаи поломки и кражи телефона), абонент был вынужден говорить в офис оператора ради того, чтобы телефон перепрограммировали и его серийный часть внесли в базу данных оператора, что некоторые операторы делали платно.
      Бесспорно, сколько более удобна идентификация абонента, независимая через телефона. В стандарте GSM было предложено разделить идентификацию абонента (с помощью SIM-карты) и оборудования (чтобы этого используется IMEI — международный идентификатор мобильного оборудования).Основная функция SIM-карты — хранение идентификационной информации об аккаунте, который позволяет абоненту легко и оживленно менять сотовые аппараты, не меняя около этом свой аккаунт, а простой переставив свою SIM-карту в подобный телефон. Чтобы этого SIM-карта включает в себя микропроцессор с ПО и данные с ключами идентификации карты (IMSI, Ki и т. д.), записываемые в карту для этапе её производства, используемые для этапе идентификации карты (и абонента) сетью GSM.
      Также SIM-карта может сберегать дополнительную информацию, например: телефонную книжку абонента списки ходящих/исходящих/пропущенных телефонных звонков текст входящих/исходящих SMS. В современных телефонах чаще всего эти данные не записываются для SIM-карту, а хранятся в памяти телефона, поскольку SIM-карта имеет довольно жёсткие ограничения на формат и объём хранимых для ней данных. Сим-карта содержит микросхему памяти, поддерживающую шифрование. Существуют карты различных стандартов, с различным размером памяти и разной функциональностью. Обедать карты, для которые около производстве устанавливаются дополнительные приложения (апплеты), такие будто сим-меню, клиенты телебанка, и т. д.
      Для самой карте телефонный часть абонента (MSISDN) в явном виде не хранится, он присваивается сетевым оборудованием оператора быть регистрации сим-карты в путы для основании её IMSI. Сообразно стандарту быть регистрации одной SIM-карты в путы оператор может присвоить ей маломальски телефонных номеров. Все эта возможность требует соответствующей поддержки инфраструктурой оператора (и соответствующих затрат с его стороны), поэтому чаще всего не применяется.
      Около утрате сим-карты абонент вынужден поставить в знаменитый оператора, утерянная карта блокируется, и абоненту выдаётся новая карта (платно или даром, в зависимости через условий оператора). Часть телефона, баланс и все подключённые услуги присутствие этом остаются неизменными, однако совершенно абонентские данные, хранившиеся для SIM-карте, не подлежат восстановлению. Сим-карта устанавливается в SIM-держатель сотового телефона, кто в современных сотовых телефонах обычно располагается почти аккумуляторной батареей. Положение сим-держателя около аккумулятором не позволяет устанавливать/извлекать сим-карту около включённом питании телефона, потому который это может привести к повреждению карты. Четыре формата сим-карт: полноразмерная сим-карта (1FF), mini-SIM (2FF), micro-SIM (3FF) и nano-SIM (4FF). Mini-SIM и micro-SIM обычно поставляются в виде выламываемых частей полноразмерной сим-карты Мини-сим-карта с возможностью лёгкого преобразования её в микро-сим-карту. ICC-код затем выламывания остаётся на микро-сим-карте.
      SIM-карты в ход нескольких десятилетий малопомалу уменьшались в размерах, впрочем сохраняли функциональность и совместимость вне зависимости через формата. Изначально карты выпускались в полноразмерном формате, кроме в виде mini-SIMs. С середины 2000-х внедряются карты форматов micro-SIM. С начала 2010-х — nano-SIM. Урывками, положим в устройствах M2M, функции SIM-карт реализуются встроенной в осуществление микросхемой.
    • Dilyaako
      Уже почти месяц не заказывал рассылку по почте. Так получилось, что раз заказал, но не пошло дело. Потом оказалось ,что не у тех заказывал. В итоге, выбрал других ребят. Ребят из https://dashamail.ru/ . А тут уже пошло поехало, очень понравилось их отношение и работа в целом.
    • Dilyaako
      ребята, а где вы сервера для форекс арендуете?
      я вот присмотрел vps для форекс через компанию СистемХост, думаю, там арендовать. вроде, ценник получается вполне нормальный, тем более, характеристики на нормальном уровне. что скажете по этому поводу?
    • 1kryptik
      Необходим был обмен криптовалюты на рубли, обменял быстро на Ripae, рекомендую всем классный обменный пункт!
×