Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 83]

Пожалуй можно добавить команду:

> Сбросить все атрибуты файлов каталогов - ориентируясь на указанную дату.

2025-01-14 17:17 - 2025-01-14 17:17 - 000000000
2025-01-14 17:16 - 2025-01-14 07:50 - 000000000
2025-01-14 17:15 - 2025-01-14 07:50 - 000000000
2025-01-14 17:13 - 2025-01-14 11:00 - 000000000

Или даже удаление для: 000 - по дате

 

 

[PR55.RP55 83]

1) По поводу реестра и восстановления.

Некоторые программы при работе создают копию реестра.

Например в корне диска от FRST 

т.е. предлагаю добавить в uVS поиск таких копий. Единственно проверять копии на соответствие Системе.

В образ писать информацию о такой копии и дату её создания.

2) Окно с твиками в будущем разбить на два окна, твики работающие с реестром выделить в отдельное окно.

3) В Doc - добавить  информацию по твику 35 и его возможном применении с виртуализацией.

4) Проверять возможность загрузиться с другого диска\системы и добавлять в Инфо. сведения о возможности загрузиться с другого диска\системы.

Это я о том, что возможно у PC были\есть несколько пользователей и человек просто не знает, что на дисках есть другие системы.

 

[PR55.RP55 83]

" Вот еще в помощь рекомендации от Зайцева Олега:

  Цитата

Кроме того, есть еще один метод восстановления испорченных ключей. Как известно, в самом реестре есть копии ключа SafeBoot. Они находятся в HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot и HKLM\SYSTEM\CurrentControlSet002\Control\SafeBoot. Следовательно, можно попробовать следующую операцию:
1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot
2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно)
3. Импортировать модифицированный файл
Данная операция может быть успешной сразу после запуска повреждающей ключ реестра вредоносной программы, до перезагрузки.

Нарушена загрузка в защищенном режиме (SafeBoot)

Изменено 6 часов назад пользователем safety "

https://forum.kasperskyclub.ru/topic/466078-privetstvuju-slovil-majner-po-nazvaniem-toolbtcmine2782/page/6/#comments

А, что если это будет делать uVS ?

т.е. Копировать ключ > модифицировать > производить перезапись.

[demkd 637]

"CurrentControlSet" это виртуальный ключ, он указывает на последний рабочий CurrentControlSetXXX, потому копировать там обычно нечего потому что есть лишь CurrentControlSet001, который и есть CurrentControlSet, другое дело когда есть 001 и 002, один из них может быть живым, а может и не быть.
Но на самом деле не нужно маяться фигней, нужно пользоваться бэкапом и восстановлением реестра, тем более что в uVS есть твик для включения системного бэкапа реестра, так же копии реестра есть в теневых копиях и точках восстановления, где гарантировано можно найти рабочую ветку реестра и восстановить ее либо руками либо через uVS->Реестр->Восстановить из копии ключ SafeBoot

[santy 153]

Вообще, в сети мало пишут про то, как восстановить работу безопасного режима, в основном после поискового запроса выводят статьи, как войти в безопасный  режим. (Видно хромает еще ИИ по этому вопросу).

По данному, частному случаю как будто все уже перепробовали: точка восстановления есть но с заражением системы, со слов пользователя. Хотя по факту здесь и не нужно восстанавливать систему, достаточно только найти в этой точке файл SYSTEM, откопировать его в другое место и извлечь из него ключ SafeBoot. Возможно, что он и делал восстановление системы из точки восст., но Safe mode не заработал. Других точек восстановления нет, бэкапов реестра нет, так как не работал ранее с uVS, да, и мы вообщем редко практикуем в сложных случаях создавать бэкап реестра. Те функции восстановления ключа, что заложены в uVS, опираются на бэкап реестра. (Которого не оказалось в системе). Твик Зайцева так же не сработал, возможно основан на методе их текста, который RP55 принес сюда.

Остается попытаться перенести ключ с чистой аналогичной системы.

Возможно ли безболезненно взять ключ Safeboot из другой аналогичной чистой системы? Какие могут возникнуть проблемы? драйвера оборудования могут оказаться различными?

 

[demkd 637]

9 часов назад, santy сказал:

Возможно ли безболезненно взять ключ Safeboot из другой аналогичной чистой системы? Какие могут возникнуть проблемы? драйвера оборудования могут оказаться различными?

Если версия системы идентичная то скорее всего подойдет, но это не точно, потому что лично я всегда пользовался бэкапом реестра, сперва ERUNT-ом, а когда он стал неактуален сделал свой ABR.

[PR55.RP55 83]

не могу писать в теме

[PR55.RP55 83]

403 Forbidden

nginx

[PR55.RP55 83]

Освобождение места на системном диске...  Добавить в меню команду:  Обнаружить и переместить все файлы - [v] медиафайлы - [v] файлы архивов ( системный диск)  > Файл Больше [v]50mb < > [v]100mb < > [v]150 < > [v]300 * Выбор Директории...

[PR55.RP55 83]

Видимо форум не даёт мне публиковать текст больше чем Х символов. Или где "много" строк.

 

[PR55.RP55 83]

Увидит ли такое uVS

И должно быть удаление ?

O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\TEMP
O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\Михаил Акаминов
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - Account: (Missing) HKLM\..\ProfileList\S-1-5-21-1832937462-987109255-1306349959-1002.bak [ProfileImagePath] = C:\Users\Михаил (folder missing)

[demkd 637]

4 часа назад, PR55.RP55 сказал:

Увидит ли такое uVS

И должно быть удаление ?

Если нет пользовательского реестра для пользователя то будет сообщение в логе, остальное не надо видеть и тем более удалять - это дело пользователя.

[PR55.RP55 83]

Изменения для драйверов Windows 11: новые сертификаты и отказ от метаданных

https://www.comss.ru/page.php?id=16408

[PR55.RP55 83]

Добавить в меню команду:

Удалить записи\сетевые адреса соответствующие поисковому запросу.

* В списке может быть 10-20 записей\ссылок на левые сайты. Создавать критерии, не всегда нужно\выгодно...

А отдавать команды по каждой ссылке большой расход времени и нервов.

 

[PR55.RP55 83]

Год от года фактически постоянно можно наблюдать ... такого рода записи

C:\ProgramData\Google\Chrome\updater.exe

PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE

APPDATA\LOCAL\360EXTREMEBROWSER\CHROME

C:\ProgramData\Google\Chrome\helper.exe

Предлагаю все записи где фигурирует Chrome - добавить  к Категории: Chromium-based

Да... это другое... Это, как правило имитация ( но имеющая отношение ) так какой смысл в отдельных записях, если всё это можно собрать в одной категории.

 

[PR55.RP55 83]

При копирование файла в Zoo Операторы могут не обратить внимания на размер файла.

Предлагаю при превышении лимита = 650mb добавить в Лог соответствующее предупреждение:

Файл скопирован в ZOO; Превышен лимит virustotal.com

Для чего ? Часто операторы предлагают поместить скопированный файл на сайт, или проверить его на V.T.

а это потеря времени. Одна "ошибка" приводит к другой "ошибке"

 

[santy 153]

RP55, 

особого смысла в этом нет.

Возможно, стоит добавить в эвристику программы добавление статуса "подозрительный" для файла размером (св. 500Мб или больше), если он  в автозапуске.

Так как в некоторых случаях майнеры используют файлы больших размеров, чтобы обойти антивирусную защиту.

[PR55.RP55 83]

8 часов назад, santy сказал:

Возможно, стоит добавить в эвристику программы добавление статуса "подозрительный" для файла размером (св. 500Мб или больше), если он  в автозапуске.

И возможно добавить в Инфо. поддержку просмотра NTFS Alternate Data Streams

Для получения доп. информации по файлам - автозапуска.

 

 

[PR55.RP55 83]

В настройках добавить: Отправлять лог применения\выполнения скрипта на сервер\адресату.

Уникальный идентификатор прописывается в скрипт при его генерации.

т.е. Оператор не запрашивает результат выполнения скрипта у пользователя.

 

 

[PR55.RP55 83]

Так как, по сути нет возможности проверить расширения браузеров Chrom\ium

при работе с образом - то, что-то нужно с этим делать.

Отправлять все расширения на V.T. - в момент генерации образа, или упаковывать их в отдельный архив к\с образом автозапуска, или загружать... в облако.

Возможно добавить пункт в меню: "Создать полный образ автозапуска с проверкой расширений браузеров".

 

 

 

[santy 153]

Может, стоит включить команды заморозки потоков и выгрузки процессов с измененным кодом при формировании скрипта в режиме "Автоскрипт"? Если были обнаружены процессы с измененным кодом.

[demkd 637]

эти функции небезопасные, лучше их оставить в ручном режиме.

[PR55.RP55 83]

Тема: https://www.comss.ru/page.php?id=18331   

" Ошибка проявляется в том, что при закрытии окна программы с помощью кнопки Закрыть (X) процесс taskmgr.exe не завершается полностью. При повторном открытии Диспетчера задач предыдущий экземпляр продолжает работать в фоне, хотя окно не отображается. В результате со временем накапливаются несколько процессов, что приводит к избыточному потреблению ресурсов системы и снижению производительности... "

и это натолкнуло на мыслю.

Раз есть такая проблема с taskmgr - то это может повториться с "любой" другой программой...

т.е. можно? Реализовать команды:

" Обнаружить и завершить все нетипично активные экземпляры Системных процессов\программ". 

и

" Обнаружить и завершить все нетипично активные экземпляры не Системных...".

Такое может быть и с браузерами - например Firefox - если есть две версии программы установленные в разные каталоги и пользователь их запускает - часто бывает неполное завершение. тогда жрёт всё и вся...

 

[PR55.RP55 83]

И ещё это:

https://www.comss.ru/page.php?id=18330

Это и на работе Образов с Live CD может сказаться ?

[demkd 637]

В 03.11.2025 at 1:53 PM, PR55.RP55 сказал:

Это и на работе Образов с Live CD может сказаться ?

нет