Universal Virus Sniffer (uVS), Вопросы разработчику - Страница 41 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

Strelec

Начиная с версии 3.70 у меня перестал работать UVS на удаленном компе. Не показывает ни подозрительных, ни программы в автозапуске.... В 3.69 всё в порядке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Начиная с версии 3.70 у меня перестал работать UVS на удаленном компе. Не показывает ни подозрительных, ни программы в автозапуске.... В 3.69 всё в порядке.

в 3.70 было изменено дефолтное значение параметра.

o Дефолтное значение bNetFastLoad изменено на 1.

для быстрого подключения к удаленному хосту. Чтобы запросить список автозапуска необходимо нажать - обновить.

в settings вам можно поправить этот параметр на 0, тогда все будет как раньше.

; Управление загрузкой в сетевом режиме.

bNetFastLoad = 0 (0 по умолчанию, обычный запуск)

; 1 (не создавать список автозапуска)

; 2 (не создавать список автозапуска и открыть удаленный рабочий стол)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

demkd

сегодня лечил бут лок (win Xp) вывеска как всегда: просят денег на смс и тд

лечение(подробности упускаю) сбросил mdr (vbr не стал из предыдущего опыта) пролечил удачно но

uVS по прежнему пишет что неизвестный загрузчик

MBR Fix не стал включать, по скольку баннер исчез все работает нормально

как то не интересно получается либо надо доработать алгоритм проверки или добавить "новый" MBR с пометкой uVS ...

иду на второй такойже аппарат попробую немного по экспериментировать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
uVS по прежнему пишет что неизвестный загрузчик

Опять же неизвестный именно MBR или VBR или IPL?

И база проверенных на месте лежит и она была загружена? (это видно в логе)

в settings вам можно поправить этот параметр на 0, тогда все будет как раньше.

Если используется Alt+V то лучше не менять, например до загрузки списка можно спокойно выполнить вход в рабочую станцию удаленно, а вот если загрузил то на логоне будут проблемы, поскольку реестр пользователя занят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit
Опять же неизвестный именно MBR или VBR или IPL?

И база проверенных на месте лежит и она была загружена? (это видно в логе)

именно MBR

база проверенных имеется и на втором аппарате был другой win loc и там MBR или VBR или IPL пишет как провереннный

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
именно MBR

Хорошо бы образ автозапуска уже после перезаписи MBR, или если уже нет компа и еще раз попадется такой случай, хотелось бы взглянуть на образ и разобраться в чем там проблема.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit
Хорошо бы образ автозапуска

образ уже не нужен все работает вирусы и буткит обезврежены

пролечил удачно но

uVS по прежнему пишет что неизвестный загрузчик

просто не правильно определяется перепрописаны им же mdr как

непроверенный...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
просто не правильно определяется перепрописаны им же mdr как

непроверенный...

Вот поэтому и хотелось бы увидеть образ если встретися еще один подобный случай.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

demkd

хорошо! обязательно сделаю , как только появиться подобный случай

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

сегодня обнаружил следующее:

после чистки мусора и удаления ссылок

в автозапуске осталась строчка следующего содержания:

"C:\WINDOWS\Temp\_WM57.tmp"

в главном окне программы, оно не отображалось

хотя как по мне явное палево...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
в автозапуске осталась строчка следующего содержания

Статус какой был у файла?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
omnilynx13

Сегодня столкнулся с вот такой ошибкой:

3346ccbdf4d7.jpg

uVS категорически отказывалось запускаться в обычном режиме винды. start и startf одинаковую ошибку. Причем startf сразу в ошибку; а start основное оконце, действие по сканированию падение :( Даже пожалел что нет кнопочки создать образ автозапуска, без выборов и всего... хотя где гарантия что б пошло...

Самое интересное, что в безопасном режиме запустилось uVS и дальше привычные убийства. и внова uVS, Победа!

Сорри, образа автозапуска нет, так как разбираться некогда было надо было быстро и чисто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit
Статус какой был у файла?

в том то и дело что ни какого

вообще не отображался этот файл в программе хотя в папке темп явно присутствовал и после потрошения темпа и прибития данной ссылки вручную все заработало .

работал в win pe поскольку вход был заблокирован баннером (программу запустить не удалось весела под банером)

за сегодня два случая с баннером по виду одинаковые, висят на рабочем столе и не дают ни чего сделать. лечились абсолютно по разному

во втором сучае были обнаружены винлоки антивирусником два в кеше браузера и пару в темпе

ps к сожалению после лечения образов не делал, дышали в спину клиенты и что то при них создавать копировать было не приемлемо..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

omnilynx13

В таких случаях хорошо бы лог того же dr.watsona или минидамп, иногда глюки удается найти :)

прибития данной ссылки вручную все заработало

А ссылка-то где была? Может он не был в автозапуске?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

"C:\WINDOWS\Temp\_WM57.tmp" именно эта запись в автозагрузке и привела меня в темп , но еще буду наблюдать за такими случаями может будет какая то закономерность...

собственно я ее обнаружил через авз просто нужно было срочно по прибивать тул бары и их запчасти и прочий мусор из автозагрузки

есть еще 1 нестандартный случай (для меня по крайней мере)

был на вызове, после других спецов

переустановили систему "деффекты" остались как и были после вызова

а именно слетает звук (дравер ошибка 10)

и usb не видит флешки

"вскрытие" показало изменен vbr

а также в новой винде "неизвестный" файл без подписи но с производителем от майкрасофта в автозагрузке в сохраненном режиме

определился как лишний uVS ом

удалил я этот процесс, восстановил vbr (к стати прога показала что он восстановился как опознанный только после перезагрузки win pe)

как всегда почистил хлам

после этого звук и флеки заработали нормально..

на всякий случай сделал слепок системы и лог

http://www.mediafire.com/?e5n6la8ryajs34r

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zloyDi

Интересный лог

http://webfile.ru/5565991

Как по проще вынести это дебагер?

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path\Debugger

Debugger rsion\Winlogon\Userinit

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

zloyDi

По идее это может быть просто глюк, странный какой-то путь.

В любом случае безопасного удаления ссылок на все отсутствующие будет достаточно или можно delref-ом его прибить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zloyDi
zloyDi

По идее это может быть просто глюк, странный какой-то путь.

В любом случае безопасного удаления ссылок на все отсутствующие будет достаточно или можно delref-ом его прибить.

Да вроде пробывал все равно на месте, ну да ладно.

Спасибо за ответ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Да вроде пробывал все равно на месте, ну да ладно.

Хм.. значит таки глюк, проверю код в этом месте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zloyDi

Скинул в личку копию вируса, может что удастса потестить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

ZloyDi,

посмотрел тему с ZAccess (файл установщика правда месячной давности). uVS действительно выгружается из памяти при создании образа автозапуска при различных режимах запуска. Из под live.CD убивается файловый поток, после этого в активной системе уже можно создать полный образ автозапуска. Естественно, потока уже нет в процессах. Сделал файл сверки системного диска на предмет проверки чего-то еще скрытого. Поиск скрытых объектов из под Live.CD по файлу сверки ничего больше не обнаружил.

----

потестирую еще, напишу подробнее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

вообщем,

по данному зловреду вышел такой результат:

в нормальном режиме uVS, avz, ESI, VBA32arkit (в неусиленном режиме тестировал), gmer, rku выгружаются из памяти на стадии формирования логов.

при этом повторно уже не запускаются avz, ESI, VBA32arkit, gmer, rku

tdsskiller удаляет руткита хотя и с каким то напрягом.

(первый раз система при сканировании улетела в BSOD, после перезагрузки повторный скан задетектил скрытый сервис и удалил его на перезагрузке системы)

uVS зачистил руткита из под Live.CD.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

в безопасном режиме uVS нормально отрабатывает: и образ автозапуска создает, и очищает файловый поток.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit
Хорошо бы образ автозапуска уже после перезаписи MBR, или если уже нет компа и еще раз попадется такой случай, хотелось бы взглянуть на образ и разобраться в чем там проблема.

в системе был мулдропер и программа ругалась на неправильный мбр

вот образ после перезаписи мбр

http://www.mediafire.com/file/pbv72jmb67nwetg/qwer7z.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Посмотрел я zacсess, активная защита процесса, соотв. любой процесс пытающийся интересоваться зловредом завершается и повторный запуск блокируется, правда тупо блокируется не по хэшу, но в целом это правильный подход к защите :)

(!) Дополнительно заражается и шифруется или скорее целиком подменяется известный файл IPSEC.SYS, VT подмененный файл по хэшу не узнал, единственный кто в данный момент среагировал - AhnLab-V3 с вердиктом Backdoor/Win32.ZAccess...

при повторной заливке файла авира, аваст и касперский тоже проснулись TR/Sirefef.AD.26 Rootkit.Win32.ZAccess.h

отчет

Т.е. чего бы он с файлом не делал, рекомендуется файл восстановить и... вообще стоит обратить внимание на все непроверенные драйвера, вполне логично было бы заражать случайный драйвер.... так оно кстати и есть, проверил.

Smit

Спасибо, гляну.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×