Перейти к содержанию

Niko182

Новички
  • Публикаций

    7
  • Зарегистрирован

  • Посещение

Репутация

0

Информация о Niko182

  • Статус
    Новичок
  1. Меня смущает, что у меня вся операционка живёт в оперативной памяти как оказалось. Что-то там с NTFS и MSI. Не знаю что делать. Подскажете верное направление? Меня смущает, что у меня вся операционка живёт в оперативной памяти как оказалось. Что-то там с NTFS и MSI. Не знаю что делать. Подскажете верное направление?
  2. Проверил файлы обновленные за день. Есть подозрения. Глянете? updatedfiles.txt
  3. @echo off rem Make sure we can find where Npcap is installed set KEY_NAME=HKLM\Software\WOW6432Node\Npcap for /F "usebackq tokens=1,2*" %%A IN (`reg query "%KEY_NAME%" /ve 2^>nul ^| find "REG_SZ"`) do ( set NPCAP_DIR=%%C ) if defined NPCAP_DIR (goto DO_CHECK) set KEY_NAME=HKLM\Software\Npcap for /F "usebackq tokens=1,2*" %%A IN (`reg query "%KEY_NAME%" /ve 2^>nul ^| find "REG_SZ"`) do ( set NPCAP_DIR=%%C ) if defined NPCAP_DIR (goto DO_CHECK) else (goto ABORT) :DO_CHECK rem If start type is not SYSTEM_START, we need to fix that. for /F "usebackq tokens=1,4" %%A in (`sc.exe qc npcap`
  4. KVRT ничего не нашёл Лог автотестера прилагаю CollectionLog-2021.02.22-09.39.zip
  5. Проверяю компьютер AVZ и сразу получаю такой кусок лога: 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .rdata Функция kernel32.dll:ReadConsoleInputExA (1132) перехвачена, метод ProcAddressHijack.GetProcAddress ->774DDAB8->75E8AC20 Перехватчик kernel32.dll:ReadConsoleInputExA (1132) нейтрализован Функция kernel32.dll:ReadConsoleInputExW (1133) перехвачена, метод ProcAddressHijack.GetProcAddress ->774DDAEB->75E8AC50 Перехватчик kernel32.dll:ReadConsol
×
×
  • Создать...