Перейти к содержанию
Правила раздела
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Не запускается проверка Kaspersky Virus Removal Tool

александр2020

Автор александр2020
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

александр2020

александр2020

Опубликовано
Опубликовано (изменено)

Проблема началась после установки и использования iobit утилит для чистки и оптимизации компьютера. Проблему обнаружил еще в четверг, в простое видеокарта грелась до 80с. Я почистил компьютер, вызвал мастера, термопасту поменяли. Однако проблема осталась. Вегда использовал KVRT , но в этот раз вирусы мне не давали возможность даже запустить и найти его, точно так же как и dr. web cureit. Я сделал по хитрому, скачал на телефоне dr.web, загрузил потом на компьютер и удалил найденные вирусы. Потом скачал утилиту KVRT, она уже запускалась, но проверку делать отказывается, не нажимается. Я уверен что вирусы все еще какие то остались, они себя не выдают

CollectionLog-2020.10.24-18.04.zip

Изменено пользователем александр2020
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

  

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avira');
 PD_folders.Add('Doctor Web');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
      begin
          QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
          DeleteFileMask(fname, '*', true);
          DeleteDirectory(fname);
      end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
 RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDlll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
    ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
end;

begin
 AV_block_remove;
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\com.squirrel.Teams.Teams','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678
Полученный после загрузки ответ сообщите здесь.
 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan ToolNAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-2737445946-1509225069-5718406-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-2737445946-1509225069-5718406-1001\...\MountPoints2: F - "F:\Autoplay.exe" -auto
HKU\S-1-5-21-2737445946-1509225069-5718406-1001\...\MountPoints2: {4df1f8ea-c1c5-11e8-8652-fcaa140d599b} - "F:\Autoplay.exe" -auto
HKU\S-1-5-21-2737445946-1509225069-5718406-1001\...\MountPoints2: {e3996899-f9b5-11e8-8656-fcaa140d599b} - "I:\OInstall.exe" 
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
OPR Extension: (Adblocker for Youtube™) - C:\Users\demangel\AppData\Roaming\Opera Software\Opera Stable\Extensions\pogmclhffdfjphnjlikiijmdjpjlfodk [2018-12-14]
2020-09-01 13:44 - 2020-10-23 00:13 - 000000000 ___HD C:\Program Files\RDP Wrapper
2020-09-01 13:33 C:\Program Files\ESET
2020-10-24 04:10 C:\ProgramData\Doctor Web
2020-10-24 04:10 C:\Users\Все пользователи\Doctor Web
FirewallRules: [TCP Query User{85AE691A-96D7-44EF-BA18-18A17DAB2747}H:\av voice changer diamond 8.0.24\av voice changer diamond 8.0.24\loader.exe] => (Allow) H:\av voice changer diamond 8.0.24\av voice changer diamond 8.0.24\loader.exe => No File
FirewallRules: [UDP Query User{7FB5E96F-B303-4F40-9421-DDE601316873}H:\av voice changer diamond 8.0.24\av voice changer diamond 8.0.24\loader.exe] => (Allow) H:\av voice changer diamond 8.0.24\av voice changer diamond 8.0.24\loader.exe => No File
FirewallRules: [{2C12102F-C95D-480B-BB08-0F9DB3AE0685}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyqfh [0]
AlternateDataStreams: C:\ProgramData\TEMP:04853F41 [141]
AlternateDataStreams: C:\ProgramData\TEMP:7980A5DB [149]
AlternateDataStreams: C:\ProgramData\TEMP:8DAF83BD [141]
AlternateDataStreams: C:\ProgramData\TEMP:AE77C4CC [129]
AlternateDataStreams: C:\ProgramData\TEMP:B0177106 [143]
AlternateDataStreams: C:\ProgramData\TEMP:B6AC352B [131]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [210]
AlternateDataStreams: C:\Users\demangel\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\demangel\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyqfh [0]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:04853F41 [141]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:7980A5DB [149]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:8DAF83BD [141]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:AE77C4CC [129]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:B0177106 [143]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:B6AC352B [131]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815 [210]
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
александр2020

александр2020

Опубликовано
  • Автор
Опубликовано

благодарю вас за помощь, вы очень помогли, теперь запускается, отпишусь как все проверит

thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, напримерC:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.
thyrex

thyrex

Опубликовано
Опубликовано
Цитата

--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.7.5.9 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.12527.20278 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft OneDrive v.20.143.0716.0003 Внимание! Скачать обновления
Steam v.2.10.91.91
TeamViewer v.15.0.8397 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 18.05 (x64) v.18.05 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.60 (64-разрядная) v.5.60.0 Внимание! Скачать обновления
-------------------------- [ IMAndColloborate ] ---------------------------
WhatsApp v.2.2041.6 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
ProtonVPN v.1.12.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45790 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
AIMP v.v4.51.2080, 07.07.2018 Внимание! Скачать обновления
K-Lite Codec Pack 15.3.5 Full v.15.3.5 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 30 ActiveX & Plugins 64-bit v.30.0.0.154 Внимание! Скачать обновления
^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^
Adobe Creative Cloud v.4.7.0.400 Внимание! Скачать обновления
Adobe Flash Player 32 NPAPI v.32.0.0.433 Внимание! Скачать обновления
Adobe Flash Player 32 PPAPI v.32.0.0.433 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 81.0.2 (x64 ru) v.81.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
Игровой центр v.4.1530 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопка "Яндекс" на панели задач v.2.2.0.53 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Razer Cortex v.9.1.7.901 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
Wondershare Helper Compact 2.5.3 v.2.5.3 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
UmmyVideoDownloader v.1.10.3.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!


 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Как злоумышленники крадут аккаунты Telegram через PowerShell-скрипты | Блог Касперского
      Автор KL FC Bot
      Существуют десятки способов добраться до чужого аккаунта в Telegram. Мы не раз писали и про фишинг в Telegram Mini Apps, и про стилеры под видом обхода блокировок, и про мошенников-кадровиков, и про многие другие варианты. Сегодня расскажем про еще один способ угнать аккаунт в мессенджере — с помощью PowerShell-скрипта.
      Скрипт с безобидным названием «Обновление телеметрии Windows» оказался инструментом для кражи сессий Telegram. Он умеет собирать данные с беззащитных компьютеров жертв и отправлять их злоумышленникам через Telegram-бот.
      Недобрый скрипт со стилером внутри
      Злоумышленники часто используют PowerShell-скрипты для скрытой загрузки вредоносных программ или кражи данных. На этот раз исследователи обнаружили на Pastebin скрипт, внутри которого под видом безобидного обновления Windows скрывался стилер, ворующий данные сессий пользователей Telegram для Windows и позволяющий злоумышленникам угнать аккаунт мессенджера без пароля и кодов доступа.
      Этот PowerShell-скрипт ворует данные сессий пользователей Telegram для Windows, позволяя злоумышленникам угнать аккаунт без пароля и кодов доступа
      В скрипте исследователей сразу же привлекли токен бота Telegram и идентификатор чата в первых строках, а также неоднократное упоминание папки tdata, в которой Telegram для Windows хранит ключи авторизации для аутентификации пользователей на серверах Telegram. Если бот получит доступ к этой папке, злоумышленник сможет войти в чужой Telegram-аккаунт без облачного пароля и подтверждения по SMS. Доступ в таком случае сохраняется до момента, пока жертва не проверит активные сессии в приложении и не аннулирует подозрительные.
       
      View the full article
    • KL FC Bot
      Как Hola Browser распространял криптомайнер Monero | Блог Касперского
      Автор KL FC Bot
      Скомпрометированная версия израильского браузера Hola для Windows (1.251.91.0) загружала на устройства пользователей криптомайнер для добычи криптовалюты Monero. Это обнаружили в начале июня исследователи кибербезопасности. Позднее разработчик браузера, компания Hola, сообщила о том, что стала жертвой атаки на цепочку поставок. Подробнее об атаке, криптомайнере и возможных последствиях для пользователей читайте в нашей статье.
      Что представляет собой браузер Hola и как было обнаружено его заражение
      Израильская компания Hola наиболее известна своим VPN-сервисом, направленным в первую очередь на обход географических ограничений и получение доступа к контенту из других стран. Помимо VPN, компания также развивает браузер Hola Browser на базе Chromium со встроенными функциями VPN и прокси.
      Исследователи обнаружили признаки компрометации браузера Hola в рамках процесса сертификации AppEsteem Windows Certified Application. В ходе этой процедуры независимые компании, работающие в области кибербезопасности, проверяют, соответствует ли приложение заявленному составу компонентов и не содержит ли оно нежелательных или вредоносных функций. После получения сертификата приложения периодически проходят повторные проверки на соответствие требованиям AppEsteem.
      Именно в рамках одного из таких тестов специалисты и обнаружили посторонний файл, который загружался вместе с версией 1.251.91.0 браузера Hola для Windows. Этот файл сохранялся на диск и был доступен по пути C:\Program Files\Hola\me{.}exe. Файл привлек внимание исследователей из-за целого ряда подозрительных признаков. Он отсутствовал в списке сертифицированных файлов, не содержал временной метки и не был подписан цифровой подписью, при этом содержал обфусцированный код и обладал возможностью записи в память.
      Исследователи отмечают, что обнаружили файл не во всех установках браузера. Поскольку заражение носило непостоянный характер, специалисты предположили, что речь идет о компрометации одного из этапов распространения Hola Browser. Позднее сама компания подтвердила, что стала жертвой атаки на цепочку поставок.
      Изучение же самого подозрительного файла me{.}exe показало, что в нем скрывался криптомайнер для добычи криптовалюты Monero. Подробнее о нем — в следующей части нашего поста.
       
      View the full article
    • KL FC Bot
      Мошеннические схемы на чемпионате мира по футболу 2026 года | Блог Касперского
      Автор KL FC Bot
      Чемпионат мира собирает не только болельщиков, но и мошенников. Пока одни следят за матчами, другие охотятся за чужими деньгами и данными. За последнее время мы обнаружили более 336 поддельных доменов, так или иначе имитирующих официальный сайт чемпионата мира по футболу! Рассказываем, на какие ловушки стоит обратить внимание в разгар главного спортивного события года.
      «Точно легальные бесплатные трансляции (не обман)»
      Посещение матчей вживую на ЧМ-2026 превратилось в непростой квест. Футбольные болельщики негодуют из-за стоимости билетов, которую уже признали самой высокой за всю историю чемпионатов мира. К ней прибавляется стоимость жилья и транспорта, а усугубляет все жесточайшая миграционная политика США — проблемы с визами и въездом в страну были даже у арбитров и игроков, что уж говорить о простых туристах. Но посмотреть матч хочется все равно, и тут «на помощь» приходят фальшивые стриминговые платформы.
      Схема работает так: злоумышленники создают поддельные сайты, которые обещают бесплатный доступ к трансляциям матчей чемпионата мира. После нажатия кнопки «Смотреть» пользователя просят зарегистрироваться, а затем — оплатить «пожизненный доступ» к просмотру всех матчей турнира (в примере ниже оплату просят в крипте, что пока не слишком распространено — обычно мошенники предпочитают старые добрые банковские карты).
      Пример сайта с фальшивым видеостримингом, требующим от пользователя зарегистрироваться и оплатить криптой доступ к просмотру всех матчей ЧМ-2026
       
      View the full article
    • KL FC Bot
      Ключевые проблемы создания автономного SOC и их решения
      Автор KL FC Bot
      Идея полностью автономного центра мониторинга кибербезопасности (Security Operations Center), в котором без участия людей проходят сбор данных, анализ подозрительных событий, расследование и реагирование, крайне привлекательна для компаний, сталкивающихся с хронической нехваткой ИБ-специалистов и постоянным ускорением и усложнением киберугроз. Все были бы рады, если бы автоматизация помогла разгрузить аналитиков, ускорить обработку оповещений и наконец уничтожить феномен вообще не обработанных событий, доля которых, по некоторым данным, достигает в среднестатистическом корпоративном SOC 67% из общего числа.
      Многие компании уже предлагают свои решения в этой сфере, но их практическое внедрение сталкивается с многочисленными трудностями. Хотя практики отмечают реальную пользу в обогащении оповещений (алертов) и уменьшении числа ложных/маловажных событий, мало где удается получить ощутимую выгоду от автономного принятия решений и реагирования.
      Фундаментальные проблемы автономного SOC: за пределами ИИ
      Хотя использование ИИ для анализа данных и принятия решений в SOC звучит как логичная и относительно несложная в реализации идея, попытка ее внедрить ставит и обостряет проблемы, с которыми организации столкнулись при внедрении SIEM, XDR и SOAR:
      Качество исходных данных. Проблемы полноты покрытия, качества обогащения, качества разметки и нормализации, над которыми непрерывно работают в каждом SOC команды detection engineering, становятся острее при внедрении ИИ, поскольку агенты более чувствительны, чем люди в этой сфере, и на неполных данных допускают более серьезные ошибки.
      Консолидация данных и интеграция инструментов. Проблема, для решения которой когда-то изобрели SIEM, остается нерешенной во многих организациях. Кстати, в рекламе агентского SOC часто звучит тезис, что «SIEM будет не нужен», потому что «агент сам сходит в EDR за нужной телеметрией». Но на самом деле даже в идеальном сценарии это означает исчезновение SIEM как интерфейса при сохранении его основных функций в «субстрате данных» агентского SOC.
       
      View the full article
    • Serebro
      [РЕШЕНО] RMS спрятанный в файле Bin
      Автор Serebro
      Всем привет
      Словил вирус RMS при попытке установить паленую игру по ссылке 
      Windows Defender профукал запуск, позволил добавить в исключения всю папку programdata, куда поселился вирус и жил там 5 дней, пока я не заподозрил неладное. 
      Пролечил систему KRD, KVRT, Cureit, AVZ, Malwarebytes. 
      Поставил Kaspersky Plus 21.25 последний обновленный. 
      Нашел лог работы RMS, в нем все записи имеют вид: 
      Address: 109.172.9.7; Port: 5655; Socket Error # 10013 Access denied.(EIdSocketError).
      Журналы системы удалились за эти дни, не успел их посмотреть.
      Скачал опять этот торент, на файле data0.bin стоит пароль, в setup.exe возможно ключ, и при запуске от админа он прописывает себя в исключения Windows Defender.


       
      В принципе понятно что это и как работает, и что сам виноват, но хочется
      1. понять был ли удаленный доступ к файлам\экрану. К сожалению удаленный доступ был разрешен, я его использовал в локалке.
      2. как вообще узнавать о том что скачанный файл имеет запароленное вложение, до того как запуск произошел? Касперский тоже на него смотрит и просит пароль, но никак не предупреждает, что здесь вообще-то свежий файл с интернета и на нём пароль и это наверно должно быть подозрительно.
      Система Windows 10 22H2
      Прикладываю отчет AVZ и несколько логов. Если какие-то еще отчеты нужны - сделаю.Логи1.zip
      avz_sysinfo.zip cureit.rar
×
×
  • Создать...