K_Mikhail
Новый пользователь
- Сообщения
- 6
- Реакции
- 0
Серьёзно? Хм, надо будет посмотреть. Он на виртуалке нормально дропается или только на физе?
У меня на VirtualBox-е нормально отрабатывает -- сейчас перепроверил.
Смотрите видео ниже, чтобы узнать, как установить наш сайт в качестве веб-приложения на домашнем экране.
Примечание: Эта возможность может быть недоступна в некоторых браузерах.
Серьёзно? Хм, надо будет посмотреть. Он на виртуалке нормально дропается или только на физе?
После запусков Vba32 AntiRootkit обнаружил файл
который позиционируется как Vba32 Armour Driver.Код:C:\WINDOWS\system32\drivers\7j9yb4ua.sys
Каков механизм чистки драйверов?
а вот через проводник файловой системы в упор не наблюдаю.. галки показывать скрытые поставил. возможно это виртуальный драйвер как и ряд других? (8o1iarn9.sys) так же обратим (к примеру) внимание на системный Beep (другие просто не вписываю, но их много)0xEDCE2000 0xEDCFC006 0x1D000 C:\WINDOWS\system32\drivers\n9hdah6x.sys File doesn't exist
в общем чую много вопросов будет к вам по утилите, видимо выделим в тему отдельную по работе с VBAwmplayer.exe 3780 1704
C:\Program Files\Windows Media Player\wmplayer.exe
Zombie process Signed
взялся сеня за лог и работу с VBA //
вот момент (кстати в справке у вас как то не очень описано работа по удалению файлов) к примеру я вижу по логу зловреда, как я его удаляю.. получается только через проводник файловой системы (вкладка File System Explorer) я вручную нахожу необходимый файл и уже совершаю действия?? если только так пока, то это очень плохо!!! так как эти действия будут совершаться пользователями и не факт что они сделают по инструкции все.. или не промахнуться файлом..
далее предположим что будет делаться по инструкции и в имени файла будет все сверяться до буковки.. но это если их до 10 например то можно еще.. а если их больше.. 20-40 -150 ?? каждый вручную удалять??
если только так удаление то может сделать поиск какой нить (не нашел ) по имени файла??
опять же как у нас по поводу карантина и сохранения копии удаляемого файла на случай ошибки, дабы в последствии восстановить его?
Пожелания - добавить (изменить-подкорректировать уже те что есть) в справку пункты
Работа с файлами\драйверами
Работа со службами
где простое описание как добраться до объекта и какие действия можно над ним совершить, и что я получу в результате, желательно с примером.
по сохранению лога, либо сохранять по умолчанию в корень системного диска (при закрытии программы) либо в конце сканирования чтоб выводилась запись если хотите сохранить в определенное место выполнить следующие действия и сохранить туда то. ну или что то типа такого..
кстати интересный момент, по логу вижу
а вот через проводник файловой системы в упор не наблюдаю.. галки показывать скрытые поставил. возможно это виртуальный драйвер как и ряд других? (8o1iarn9.sys) так же обратим (к примеру) внимание на системный Beep (другие просто не вписываю, но их много)
он без описания и прочего..он патчен??
лог прилагаю.
и кстати раз уж смотрим лог то как понимать строки
в общем чую много вопросов будет к вам по утилите, видимо выделим в тему отдельную по работе с VBA
Кстати в хроме галка Don't display trusted работает в FF не работает.. так же стоит no script и там в доверенных..
%username%\vba32arkit. это далеко, тот же RSIT делает это разумно в %systemdrive%\RSIT\rsit.logСейчас лог по-умолчанию предлагается сохранить в директорию %username%\vba32arkit.
Ссори, что влезаю в серьезный мужской разговор.
Дело в том, что до лога добиралась длительно, ибо после предложения сканировать в защищенном режиме софтина подвешивала мне систему. Читала на другом ресурсе, что в беде я не одинока-чем лечить?
Потому без лишней необходимости данный режим пока использовать не советую;
edde написал(а):%username%\vba32arkit. это далеко, тот же RSIT делает это разумно в %systemdrive%\RSIT\rsit.log
edde написал(а):Галка Don't display trusted работает в FF не работает даже без установленного no script
тогда все переходит в вялое обсуждение.. ждем релизов..Тут нужно ждать скрипты. Иначе это может привести к большим проблемам, в том числе, и к описанным вами.
не согласен.. пусть в корне создается папка с логом, пример ComboFix RSIT это очень удобно.Сейчас лог по-умолчанию предлагается сохранить в директорию %username%\vba32arkit. В корень, наверное, все же не стоит. Как-то это некрасиво совсем.
ссылки не открылись..Кстати, на NT Internals автор чуток перемудрил первоначально и теперь в Hidden Dynamic-Link Library Detection Test у нас все плюсики
Готов подробнейшим образом на них ответить
Кроме того, возможно в ближайшие пару недель мы выпустим новый билд бета-версии, в которой уберем фокус с кнопки YES при выборе режима запуска приложения, чтобы уменьшить вероятность попадания в такую ситуацию.
Arbitr написал(а):не согласен.. пусть в корне создается папка с логом, пример ComboFix RSIT это очень удобно.
Arbitr написал(а):ссылки не открылись..
Arbitr написал(а):тогда все переходит в вялое обсуждение.. ждем релизов..
Arbitr написал(а):ну опят же..ждем скриптов для теста и продолжим.
XP SP3 (FAT32) KIS2009
- не запускается .
Ругается на неподдерживаемую файловую систему.
XПочему бы не сделать чтобы утилита сама определяла локализацию и подключала нужный язык ?
Arbitr написал(а):ну опят же..ждем скриптов для теста и продолжим.
Rashevskiy написал(а):Ну скрипты конечно вещь тонкая и нужная, но в данном анти-рутките есть много и другого интересного функционала.
akoK написал(а):а никто это не отрицает. Просто сейчас обратная связь при удалённом лечении размыта.
Уже невозможно - конвертировал раздел в NTFS.Попробуйте выполнить следующую команду для своего FAT32 раздела:
chkdsk /f
Уже невозможно - конвертировал раздел в NTFS.
ага доберусь в живую до компа опробую отпишусь.Я думаю, что многие здесь "лечат" компьютеры не только удаленно, но и вживую.
Сейчас буткиты можно задетектировать только по косвенным признакам (наличие перехватов в IRP, скрытые драйвера и т.д.). Функционала, который однозначно определит модифицированный MBR, в данной версии продукта нет. Задача сложная, потому мы к ней постепенно подбираемся.
я не говорю об определении модифицирован он ли нет, а о фиксе, привести MBR в изначальный.