K_Mikhail
Новый пользователь
- Сообщения
- 6
- Реакции
- 0
Серьёзно? Хм, надо будет посмотреть. Он на виртуалке нормально дропается или только на физе?
У меня на VirtualBox-е нормально отрабатывает -- сейчас перепроверил.
Follow along with the video below to see how to install our site as a web app on your home screen.
Примечание: This feature may not be available in some browsers.
Серьёзно? Хм, надо будет посмотреть. Он на виртуалке нормально дропается или только на физе?
После запусков Vba32 AntiRootkit обнаружил файл
который позиционируется как Vba32 Armour Driver.Код:C:\WINDOWS\system32\drivers\7j9yb4ua.sys
Каков механизм чистки драйверов?
а вот через проводник файловой системы в упор не наблюдаю.. галки показывать скрытые поставил. возможно это виртуальный драйвер как и ряд других? (8o1iarn9.sys) так же обратим (к примеру) внимание на системный Beep (другие просто не вписываю, но их много)0xEDCE2000 0xEDCFC006 0x1D000 C:\WINDOWS\system32\drivers\n9hdah6x.sys File doesn't exist
в общем чую много вопросов будет к вам по утилите, видимо выделим в тему отдельную по работе с VBAwmplayer.exe 3780 1704
C:\Program Files\Windows Media Player\wmplayer.exe
Zombie process Signed
взялся сеня за лог и работу с VBA //
вот момент (кстати в справке у вас как то не очень описано работа по удалению файлов) к примеру я вижу по логу зловреда, как я его удаляю.. получается только через проводник файловой системы (вкладка File System Explorer) я вручную нахожу необходимый файл и уже совершаю действия?? если только так пока, то это очень плохо!!! так как эти действия будут совершаться пользователями и не факт что они сделают по инструкции все.. или не промахнуться файлом..
далее предположим что будет делаться по инструкции и в имени файла будет все сверяться до буковки.. но это если их до 10 например то можно еще.. а если их больше.. 20-40 -150 ?? каждый вручную удалять??
если только так удаление то может сделать поиск какой нить (не нашел ) по имени файла??
опять же как у нас по поводу карантина и сохранения копии удаляемого файла на случай ошибки, дабы в последствии восстановить его?
Пожелания - добавить (изменить-подкорректировать уже те что есть) в справку пункты
Работа с файлами\драйверами
Работа со службами
где простое описание как добраться до объекта и какие действия можно над ним совершить, и что я получу в результате, желательно с примером.
по сохранению лога, либо сохранять по умолчанию в корень системного диска (при закрытии программы) либо в конце сканирования чтоб выводилась запись если хотите сохранить в определенное место выполнить следующие действия и сохранить туда то. ну или что то типа такого..
кстати интересный момент, по логу вижу
а вот через проводник файловой системы в упор не наблюдаю.. галки показывать скрытые поставил. возможно это виртуальный драйвер как и ряд других? (8o1iarn9.sys) так же обратим (к примеру) внимание на системный Beep (другие просто не вписываю, но их много)
он без описания и прочего..он патчен??
лог прилагаю.
и кстати раз уж смотрим лог то как понимать строки
в общем чую много вопросов будет к вам по утилите, видимо выделим в тему отдельную по работе с VBA
Кстати в хроме галка Don't display trusted работает в FF не работает.. так же стоит no script и там в доверенных..
%username%\vba32arkit. это далеко, тот же RSIT делает это разумно в %systemdrive%\RSIT\rsit.logСейчас лог по-умолчанию предлагается сохранить в директорию %username%\vba32arkit.
Ссори, что влезаю в серьезный мужской разговор.
Дело в том, что до лога добиралась длительно, ибо после предложения сканировать в защищенном режиме софтина подвешивала мне систему. Читала на другом ресурсе, что в беде я не одинока-чем лечить?
Потому без лишней необходимости данный режим пока использовать не советую;
edde написал(а):%username%\vba32arkit. это далеко, тот же RSIT делает это разумно в %systemdrive%\RSIT\rsit.log
edde написал(а):Галка Don't display trusted работает в FF не работает даже без установленного no script
тогда все переходит в вялое обсуждение.. ждем релизов..Тут нужно ждать скрипты. Иначе это может привести к большим проблемам, в том числе, и к описанным вами.
не согласен.. пусть в корне создается папка с логом, пример ComboFix RSIT это очень удобно.Сейчас лог по-умолчанию предлагается сохранить в директорию %username%\vba32arkit. В корень, наверное, все же не стоит. Как-то это некрасиво совсем.
ссылки не открылись..Кстати, на NT Internals автор чуток перемудрил первоначально и теперь в Hidden Dynamic-Link Library Detection Test у нас все плюсики
Готов подробнейшим образом на них ответить
Кроме того, возможно в ближайшие пару недель мы выпустим новый билд бета-версии, в которой уберем фокус с кнопки YES при выборе режима запуска приложения, чтобы уменьшить вероятность попадания в такую ситуацию.
Arbitr написал(а):не согласен.. пусть в корне создается папка с логом, пример ComboFix RSIT это очень удобно.
Arbitr написал(а):ссылки не открылись..
Arbitr написал(а):тогда все переходит в вялое обсуждение.. ждем релизов..
Arbitr написал(а):ну опят же..ждем скриптов для теста и продолжим.
XP SP3 (FAT32) KIS2009
- не запускается .
Ругается на неподдерживаемую файловую систему.
XПочему бы не сделать чтобы утилита сама определяла локализацию и подключала нужный язык ?
Arbitr написал(а):ну опят же..ждем скриптов для теста и продолжим.
Rashevskiy написал(а):Ну скрипты конечно вещь тонкая и нужная, но в данном анти-рутките есть много и другого интересного функционала.
akoK написал(а):а никто это не отрицает. Просто сейчас обратная связь при удалённом лечении размыта.
Уже невозможно - конвертировал раздел в NTFS.Попробуйте выполнить следующую команду для своего FAT32 раздела:
chkdsk /f
Уже невозможно - конвертировал раздел в NTFS.
ага доберусь в живую до компа опробую отпишусь.Я думаю, что многие здесь "лечат" компьютеры не только удаленно, но и вживую.
Сейчас буткиты можно задетектировать только по косвенным признакам (наличие перехватов в IRP, скрытые драйвера и т.д.). Функционала, который однозначно определит модифицированный MBR, в данной версии продукта нет. Задача сложная, потому мы к ней постепенно подбираемся.
я не говорю об определении модифицирован он ли нет, а о фиксе, привести MBR в изначальный.