Премини към съдържанието
Форумът в приложение

По-лесно сърфиране. Научи повече.
Kaldata.com - Форуми

Приложение на форума на цял екран с push известия, значки и други.

За да инсталирате това приложение на iOS и iPadOS
  1. Докоснете Иконата за споделяне в Safari
  2. Превъртете менюто и докоснете Добавяне към началния екран.
  3. Докоснете Добавяне в горния десен ъгъл.
За да инсталирате това приложение на Android
  1. Докоснете менюто с 3 точки (⋮) в горния десен ъгъл на браузъра.
  2. Докоснете Добавяне към началния екран или Инсталиране на приложение.
  3. Потвърдете, като докоснете Инсталиране.
Добави Kaldata.com в предпочитани източници в Google

Добре дошли!

Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

 

Registry value/key които не се премахват.

Wrath
в Премахване на зловреден софтуер

Featured Replies

След дълги години пак съм тука :)
Здравейте. Реших да направя един профилактичен скан чрез Malwarebytes оня ден и попаднах на това. Първия път се изчистиха, но след повторен скан пак се появиха. Поразрових малко и установих че, някоя програма сменя стойността от default. Ще се радвам ако някой се отзове! Благодаря предварително. 

 

 

 


RiskWare.IFEOHijack

image.png?ex=65f8339f&is=65e5be9f&hm=2bf733a339f0a1112d3fbd8e5f21b37d3b044abfd36bbfa2b9d3b052cad31aa8&

Addition.txt FRST.txt

  • Цитирай

    Здравейте,

    В момента съм зает и после ако @icotonev е наблизо може да поеме случая. Аз само ще вметна едно предложение.

    Може да пробвате ProcMon да хванете коя програма слага IFEO ключовете за забрана на Defender-a.

    1. Изтеглете ProcMon и я разархивирайте и стартирайте.

    https://learn.microsoft.com/en-us/sysinternals/downloads/procmon

    2. Изтрийте въпросните ключове с Malwarebytes.

    3. В ProcMon натиснете бутона Clear.

    rtaImage?eid=ka1Do0000009GFh&feoid=00N1B

    и след това сложете отметка пред Enable Boot Logging.

    proc-mon-Enable-Boot-Logging.jpg

    4. Рестартирайте системата. След като се уверите, че ключовете са се появили пак, стартирайте ProcMon и на този въпрос отговорете с YES.

    rtaImage?eid=ka1Do0000009GFh&feoid=00N1B

    5. Лог файла заема доста място (колкото повече време работи програмата). Архивирайте го и го качете на хостинг по избор и предоставете линка към него.

    Или пробвайте да го анализирате сам.

    За улеснение използвай филтрация по конкретни параметри и ключови думи (Debugger, mpcmdrun.exe и т.н.).

    Така съм хващал доста неща. Дори, коя програма слагаше едно прокси преди време като претърсвах една система за зловреден софтуер. Оказа се Panda антивирусната. :)

    zcLQqPv.png

     

  • Цитирай
    • Харесване 2
    • Автор

    Сканирах няколко пъти отново за ключовете. Сега чакам да се появят само. Благодаря ви! Лек ден. 

  • Цитирай
    • Харесване 2
    преди 33 минути, Wrath написа:

    Сканирах няколко пъти отново за ключовете. Сега чакам да се появят само. Благодаря ви! Лек ден. 

    Имайте предвид, че лог файловете от ProcMon лесно могат да станат стотици гигабайти. Обикновено това предложение е ефективно ако се знае горе-долу на какъв интервал се появяват нежеланите промени, а не да оставите ProcMon да работи цял ден (защото лесно ще източи всичкото свободно място на диска). За теста може да видите ако стартирате инсталираните от вас програми 1 по 1 дали някоя от тях все пак не е била причината да се появят тези промени. Всъщност има и други начини освен ProcMon за засичане конкретно на нежелани проблеми по регистрите.

    Пример за една такава в MJ Registry Watcher (безплатна).

    https://www.jacobsm.com/mjsoft.htm

    Друга, която би свършила работа е NoVirusThanks Registry Guard (беше безплатна преди, но с времето я направиха платена, но поне има 30-дневен пробен период, колкото да си решите проблема).

    https://www.appsvoid.com/products/registry-guard/

    Само трябва да се създават правила да се съобщава за промени по ключа - 

    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

    Както и изоставената вече WinPatrol но не в безплатната си версия Free, а в Plus (платената) имаше добавен мониторинг на промени по регистрите, но като гледам правилата не помня дали ставаше само за стойности или и за цели ключове.

    winpatrol-plus.jpg

    Аз като имам време ще прегледам и логовете.

     

  • Цитирай
    • Харесване 4
    • Автор
    преди 3 часа, B-boy/StyLe/ написа:

    Имайте предвид, че лог файловете от ProcMon лесно могат да станат стотици гигабайти. Обикновено това предложение е ефективно ако се знае горе-долу на какъв интервал се появяват нежеланите промени, а не да оставите ProcMon да работи цял ден (защото лесно ще източи всичкото свободно място на диска). За теста може да видите ако стартирате инсталираните от вас програми 1 по 1 дали някоя от тях все пак не е била причината да се появят тези промени. Всъщност има и други начини освен ProcMon за засичане конкретно на нежелани проблеми по регистрите.

    Пример за една такава в MJ Registry Watcher (безплатна).

    https://www.jacobsm.com/mjsoft.htm

    Друга, която би свършила работа е NoVirusThanks Registry Guard (беше безплатна преди, но с времето я направиха платена, но поне има 30-дневен пробен период, колкото да си решите проблема).

    https://www.appsvoid.com/products/registry-guard/

    Само трябва да се създават правила да се съобщава за промени по ключа - 

    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

    Както и изоставената вече WinPatrol но не в безплатната си версия Free, а в Plus (платената) имаше добавен мониторинг на промени по регистрите, но като гледам правилата не помня дали ставаше само за стойности или и за цели ключове.

    winpatrol-plus.jpg

    Аз като имам време ще прегледам и логовете.

     

    Така и така ключовете не се появиха отново.. Върших същото, което съм правил и вчера, абсолютно никаква разлика. Ще изчакам тогава, благодаря.

  • Цитирай
    • Харесване 3
    • 2 седмици по-късно...

    Добавете отговор

    Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.
    Бележка: Вашата публикация изисква одобрение от модератор, преди да стане видима за всички.

    Гост
    Публикацията ви съдържа термини, които не допускаме! Моля, редактирайте съдържанието си и премахнете подчертаните думи по-долу. Ако замените букви от думата със звездички или друго, за да заобиколите това предупреждение, профилът ви ще бъде блокиран и наказан!
    Напишете отговор в тази тема...
    Назад

    Разглеждащи това в момента 0

    • Няма регистрирани потребители разглеждащи тази страница.

    Дарение

    • Подкрепи съществуването на форума - направи дарение
      26%
      Дарени 256.00 EUR от нужните 1,000.00 EUR

    Бюлетин

    Получавайте известие, когато има важна промяна или новина свързана с форума.
    Абонирайте се

    Профил

    Навигация

    Търсене

    Търсене

    Конфигуриране на push известия в браузъра
    Chrome (Android)
    1. Докоснете иконата на катинар до адресната лента.
    2. Докоснете Разрешения → Известия.
    3. Променете предпочитанията си.
    Chrome (Desktop)
    1. Кликнете върху иконата на катинар в адресната лента.
    2. Изберете Настройки на сайта.
    3. Намерете Известия и коригирайте предпочитанията си.