Это значит, что программа cscript.exe запускает файл KernCap.vbs, который находится в рабочем каталоге C:\tools\kernratecscript KernCap.vbs (WorkDir="C:\\tools\\kernrate")
O25 - WMI Event: ASEC - EventFilter sethomePage2 - Dim objFS:Set objFS = CreateObject("Scripting.FileSystemObject"):On Error Resume Next : Const link = "index": Const linkChrome = "index":browsers = Array("IEXPLORE.EXE", "firefox.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.ex(2401 bytes)
O7 - IPSec: IP_Policy_Name [2017/07/22] - {074837c2-134b-40ab-82c7-76a701805528} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
(Disabled) - отключена
5) Прочих параметров, как автоматический запуск с повышенными привилегиями, скрытая задача и т.п.(Ready) - готова(Running) - запущена(Not scheduled) - не запланирована(Disabled) - отключена() - неизвестное (незадокументированное) состояние
Пример лога:O22 - Task: (состояние задания) (прочие метки) Относительный путь к файлу задачи - Путь к файлу, запускаемому заданием и аргумент (наличие запускаемого файла на диске) (пометка Microsoft)
1-я строка - файл задачи находится по пути: c:\Windows\Tasks\Системное обновление Браузера Яндекс.job (это старый способ запуска, как в XP/2003)O22 - Task: (Ready) Системное обновление Браузера Яндекс.job - C:\Program Files (x86)\Yandex\YandexBrowser\17.11.0.2358\service_update.exe --run-as-launcher
O22 - Task: \MSIAfterburner - C:\Program Files (x86)\MSI Afterburner\MSIAfterburner.exe /s (file missing)
* так, если вы видите в задании, что путь к файлу проходит через папку профиля пользователя (обычно, диск:\users), то реальный путь к заданию при его создании мог выглядеть так:O22 - Task: (Ready) \test - C:\Users\tfcor\FRST64.exe (file missing)
O22 - Task (.job): (Ready) Обновление Браузера Яндекс.job - C:\Users\Alex\AppData\Local\Yandex\YandexBrowser\Application\browser.exe
O22 - Tasks_Migrated: Adobe Flash Player Updater - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (file missing)
Если адрес вредоносный, пользователь должен вручную зайти в настройки роутера и изменить адрес согласно настройкам, указанным в договоре с провайдером.O17 - DHCP DNS - 1: 8.8.4.4
В таком случае, при наличии подозрений пользователь должен сам проверить адрес в настройках роутера.O17 - DHCP DNS - 1: 192.168.1.1
O7 - TroubleShoot: Free disk space on C: is too low = NNN MB.
Это может произойти по многим причинам, например:Error! This backup is no longer exists.
Error! File to be restored is no longer exists in backup. Cannot continue repairing.
Error! File to be restored from backup is corrupted. Cannot continue repairing.
Error! Registry entry to be restored from backup is corrupted. Cannot continue repairing.
Unknown error happened during restore item: []. Item is restored partially only.
№ п/п \ FixID \ Дата-Время \ Строка лога, которая была пофиксена
Пример лога:[O7 - Policy: [Untrusted Certificate] хеш сертификата - имя, кому выдан (спец. пометки)
Хеш сертификата, как правило, совпадает с названием ключа реестра. В примере выше это:O7 - Policy: [Untrusted Certificate] 03D22C9C66915D58C88912B64C1F984B8344EF09 - Comodo
Имя, кому выдан - для вредоносных записей обычно будет соответствовать имени компании блокируемого защитного ПО.HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\03D22C9C66915D58C88912B64C1F984B8344EF09
Эта запись появляется, если в логе более 10 записей с сертификатами. Обычно, для CertLock их более 40.O7 - Policy: [Untrusted Certificate] Fix all items from the log
Неправильная установка переменных TEMP/TMP, в том числе указывающих на папку с более высоким уровнем доступа, может приводить к различным проблемам, иногда выглядящим как вирусные или баги после некачественных Windows Update, например, "Отказ в доступе" при попытке установить некоторые программы. Пример темы.O7 - TroubleShoot: [EV] HKCU\..\%TEMP% - (environment variable is not exist)
O7 - TroubleShoot: [EV] HKCU\..\%TEMP% - C:\WINDOWS\Temp (environment value is altered)
O7 - TroubleShoot: [EV] HKCU\..\%TEMP% - %USERPROFILE%\AppData\Local\Temp (wrong type of parameter)
O7 - TroubleShoot: [EV] HKCU\..\%TEMP% - (empty value)
Малое кол-во свободного места на системном диске ( < 200 MB для XP и < 1000 МБ. для Win Vista и новее) может привести к отказу загрузки системы, а также существенно замедляет скорость загрузки, особенно для не-SSD ЖД вследствие фрагментации.O7 - TroubleShoot: [Disk] Free disk space on C: is too low = 556 MB.
O7 - TroubleShoot: [Network] Computer name (hostname) is not set (should be: Alex-PC)
Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Отладчик может быть настроен на глобальное внедрение dll - во все процессы, которое будет происходить даже в момент загрузки ОС. В этом случае вы увидите в логе подобное:O26 - IFEO: HKLM\..\iexplore.exe: [Debugger] = C:\Windows\System32\malw.exe
O26 - IFEO: HKLM\..\notepad.exe: [VerifierDlls] = C:\ProgramData\Adobe\ReaderDC.dll
O26 - IFEO Global hook: [VerifierProviders] = malw.dll
файл1
файл2
ключ1
ключ2
Certutil -syncWithWU c:\temp
Certutil -generateSSTFromWU c:\temp\WURoots.sst
- Microsoft Service 'X' depends on non-legit service: 'Y' - если запуск легитимной службы 'X' зависит от неизвестной службы 'Y'
- Microsoft Service 'X' depends on non-legit group: 'Y' - если запуск легитимной службы 'X' зависит от неизвестной сервисной группы 'Y'
- Microsoft Service Group 'X' contains non-legit service: 'Y' - если в состав легитимной сервисной группы 'X' входит неизвестная служба 'Y'
O23 - Driver R0: sptd - C:\Windows\System32\Drivers\sptd.sys
O23 - Driver R3: Kaspersky Lab KLKBDFLT - (klkbdflt) - C:\Windows\system32\DRIVERS\klkbdflt.sys
O23 - Driver R: VMware virtual network driver (64-bit) - C:\Windows\system32\DRIVERS\VMNET.SYS
O7 - Policy: Permissions on key are restricted - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates - O:BAG:SYD:AI
O:BAG:SYD:AI
O:BAG:SYD:PAI(D;OICI;FA;;;BG)(A;OICI;FA;;;BA)(A;OICIIO;FA;;;CO)(A;OICI;FA;;;SY)(A;OICI;FA;;;BU)S:AI(AU;OICINPFA;RPDTSDWD;;;BU)(AU;OICINPSA;CCSWRPDTLOSD;;;BU)
O:owner_sid
G:group_sid
D:dacl_flags(string_ace1)(string_ace2)... (string_acen)
S:sacl_flags(string_ace1)(string_ace2)... (string_acen)
(D;OICI;FA;;;BG)
icacls "c:\windows" /dbg
Чтобы декодировать это число в человеко-читаемый список алиасов, написана программа, которую можно скачать из вложения. Исходник (вводите только само число, с префиксом 0x ).(A;;0x1201ff;;;BU)
Фикс HiJackThis:O22 - BITS Job: Fix all (including legit)
где Username - имя пользователя.O7 - AutoLogon: HKLM\..\Winlogon: USER-PC\Username
Эти записи выводятся, если система настроена на вывод сообщения перед входом пользователя в систему.O7 - AutoLogon: HKLM\..\Winlogon: [LegalNoticeCaption] = заголовок ...
O7 - AutoLogon: HKLM\..\Winlogon: [LegalNoticeText] = сообщение ...
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?