DefenseWall от Ильи Рабиновича
Автор
Илья Рабинович, в Выбор домашних средств защиты
Recommended Posts
Объявления
-
Сообщения
-
От PR55.RP55 · Опубликовано
https://forum.kasperskyclub.ru/topic/471996-pojavljajutsja-v-operativnoj-pamjati-membackdoorwin64agentgen-i-memtrojanmultiagentgen/page/2/#comments Task: {A67FE49E-5424-45F5-9347-257FE1179FF6} - System32\Tasks\Microsoft\Windows\Autochk\KeyPreair => C:\Program Files (x86)\Microsoft\Edge\Application\Msproedg.exe [64080 2026-03-16] (Microsoft 3rd Party Application Component -> ) 1. Предлагаю добавить в меню: Запрос к ИИ 2. Автоматически добавлять ЭТО в подозрительные. Что можно получить при разборе в ИИ. ___Ответ ИИ: ___ Резюме Анализ вредоносной строки из лога FRST * *Суть записи:* Данная строка представляет собой запись из лога
программы FRST (Farbar Recovery Scan Tool) и указывает на активное
вредоносное ПО на компьютере.
* *Маскировка файла:* Исполняемый файл |Msproedg.exe| имитирует
легитимный браузер Microsoft Edge, маскируясь под него измененным
именем. Оригинальный файл браузера должен называться |msedge.exe|.
Имя |Msproedg.exe| не используется ни одним легальным софтом в мире.
* *Аномалия размещения:* Вирус прописан в планировщике задач в ветке
|Microsoft\Windows\Autochk|. В норме эта ветка отвечает
исключительно за диагностику файловой системы при загрузке
компьютера и может содержать всего одну легальную задачу — |Proxy|.
Задача с именем |KeyPreair| здесь нелегальна.
* *Аномалия размера:* В логе указан размер |64080| байт (около 64 КБ).
Размер оригинального браузера измеряется в мегабайтах, а не в
килобайтах.
* *Аномалия даты (Timestomping):* В логе указана дата |2026-03-16|.
Вирус намеренно использует технику подделки даты, чтобы скрыться от
антивирусных сканеров, которые ищут недавно измененные файлы.
* *Скомпрометированная цифровая подпись:*
o В логе отображается строка: |(Microsoft 3rd Party Application
Component -> )|.
o Сертификат |Microsoft Windows Third Party Application Component|
(и его сокращенный вариант) действительно существует. Это
легальный сертификат Microsoft для подписи софта сторонних
разработчиков, который официально интегрируется в систему
(компоненты Teams, DirectX).
o У оригинального браузера Edge подпись всегда выглядит как
|(Microsoft Corporation)|. В данном же случае пустая стрелочка в
конце |-> )| показывает цепочку доверия Authenticode.
o В легальном файле FRST проверяет издателя и замыкает цепочку:
|(Microsoft 3rd Party Application Component -> Microsoft
Corporation)|. Пустота после стрелки в вашем логе — это
технический признак того, что вирус скопировал чужой блок
подписи, но криптографическая проверка Authenticode провалилась. -
От PR55.RP55 · Опубликовано
demkd Если так с рекламой на форуме продолжиться - форум закроют :) -
От PR55.RP55 · Опубликовано
При работе с программой оператором зачастую выполняются одни и те же действия. Предлагаю в стартовое меню добавить команду: Выполнить определённое действие: 1 - 2 - 3 Пример: 1 - Запустить под текущим пользователем > Открыть категорию Скрипты > Применить F4 Или 2 - Для работы с удалённым PC по схеме... и т.д. -
От Ego Dekker · Опубликовано
Домашние антивирусы для Windows были обновлены до версии 19.1.12. В числе прочего добавлена функция «Защита экрана браузера». -
От PR55.RP55 · Опубликовано
По мелочи: 1) В меню: Тесты > Тест на АКТИВНЫЕ файловые вирусы
Так вот, если просто закрыть окно по Esc ( не нажимая ОК ) программа всё равно начнёт поиск... 2) В меню: Файл > Восстановить реестр.
Пример из лога:
Выполнено за 1,423 сек.
Указанный каталог не содержит полной и доступной для чтения копии реестра.
----
Выполнено за 1,423 сек. Что выполнено ?
Как-то совсем нехорошо звучит. Не нужно так пугать. :)
-