Universal Virus Sniffer (uVS), Вопросы разработчику - Страница 61 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

goover
и почему-то расширение само сносится... наверное так задумано :D

Это же фича для корпоративщиков.

Сделали "динамическую установку": расширение каждый раз подгружается из указанного в политике места.

А заодно сделали и "динамическое удаление": отключили политику - сразу пропало и расширение :)

Судя по отписавшимся теперь всё работает как надо. ( сам не пробовал - не подписан на апдейты ).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

любопытно, что в ccleaner есть функции по включению/отключению/удалению расширений браузеров, в том числе и для Chrome.

и функция отключить, действительно отключает расширение, добавленное через групповую политику.

extension1.jpg

при том, что добавленная политика не обнуляется. :)

а вот удаление отключенного уже расширения в ccleaner имело обратный эффект.

после запуска Chrome расширение восстановлено в списке, да со статусом "включено". :)

post-1135-1392269044_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Всё в этой теме:

pchelpforum.ru/f26/t134595/#post1171625

Становиться традицией, что uVS не может получить доступ; проверить подпись и вообще найти файл...

Вопрос такой. Будут ли приняты меры ?

Полное имя C:\PROGRAMDATA\INVENTOR\SAFPDNDNN.EXE

Имя файла SAFPDNDNN.EXE

Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Сохраненная информация на момент создания образа

Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Инф. о файле Отказано в доступе.

Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Доступ Отсутствует доступ к предположительно исполняемому файлу

Ссылки на объект

Ссылка C:\WINDOWS\SYSTEM32\TASKS\WINDOWS UPDATE CHECK - 0X1A45045D

----------------------------

А файлы:

C:\ProgramData\Inventor\safpdndnn.exe

C:\Windows\Prefetch\SAFPDNDNN.EXE-ACC05EB1.pf

Есть...

И программа которая работает с:

" поиском данных и файлов на NTFS разделах за счет прямой работы с таблицей MFT раздела."

Их прекрасно видит.

----

1) Выше есть и книга по данной тематике.

http://www.anti-malware.ru/forum/index.php...st&p=175107

2) По поводу проверки подписи - я также предлагал вариант... ( думаю все помнят, что именно предлагал )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
UltraSearch?

YES

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
g0dl1ke

27 твик не работает

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Smit

ну это вина разработчиков софта, \\ в пути быть не должно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Традиция... ? :rolleyes:

-----------------------

Полное имя C:\PROGRAMDATA\SVCHOST0\RZSBKOTIU.EXE

Имя файла RZSBKOTIU.EXE

Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Сохраненная информация на момент создания образа

Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Инф. о файле Отказано в доступе.

Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Доступ Отсутствует доступ к предположительно исполняемому файлу

Ссылки на объект

Ссылка C:\WINDOWS\SYSTEM32\TASKS\WINDOWS UPDATE CHECK - 0X0C290301

------------------------

Напомню, что выше есть образ/пример 1.

Ссылки на объект

Ссылка C:\WINDOWS\SYSTEM32\TASKS\WINDOWS UPDATE CHECK - 0X1A45045D

------------------------

Нехорошая тенденция...

Образ №2 в теме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

ну это вина разработчиков софта то есть у вирусописателей тоже есть способ обманывать программу !?

не ужели так сложно пофиксить двойные слеши? или исправлять такие пути в реестре ... от этого программа только выиграет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Smit

Двойной слэш в пути это ошибка, такая ссылка работать будет только в младших системах, в старших не обязана, потому такие ссылки будут выделяться.

А пофиксить в силу особенности работы uVS сложно, для этого надо писать специальный твик, когда-нибудь напишу, пока же гораздо проще щелкнуть по ссылке и ручками исправить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Нехорошая тенденция...

Вообще да, странно почему-то в логе нет строки что файл защищен и информации был ли получен к нему доступ, как c тем же sptd.sys

пожалуй в след. версии включу вывод ошибок в лог, посмотрим что вернется на нем, хорошо бы конечно самого руткитика получить и потестить, чего он там могет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
arraga

Всем привет, пару лет назад в проге была папка Zoo и можно было отправлять вирусы на изучение. Куда эта папка пропала в новых версиях? Прежде чем задавать этот вопрос, я перечитал все документы в папке Doc, но там всё по-старому.. Куда Zoo девали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Аркалык
Всем привет, пару лет назад в проге была папка Zoo и можно было отправлять вирусы на изучение. Куда эта папка пропала в новых версиях? Прежде чем задавать этот вопрос, я перечитал все документы в папке Doc, но там всё по-старому.. Куда Zoo девали?

А он никуда и не пропал. Добавляйте команду zoo (Поместить копию файла в Zoo) -> копия файла скопируется в папку Zoo в каталоге uVS; Добавляйте команду czoo(Архивировать Zoo) -> все добавленные файлы в папку zoo помещается в архив с именем Zoo_год_месяц_день.rar/zip. Пароль архива вставляется по умолчанию virus.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Прежде чем задавать этот вопрос, я перечитал все документы в папке Doc, но там всё по-старому.. Куда Zoo девали?

Плохо читали

 3.75---------------------------------------------------------o Изменено имя архива Zoo (добавлен префикс ZOO_)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
arraga

Аркалык, спасибо, раньше вроде было - когда "удалить файл вместе с ссылками" - он автоматически помещался в зоо.. И еще - слышал, сейчас есть возможность сравнивать 2 образа автозапуска - с активной и неактивной оси.. Ссылку почитать подробнее есть? А то в мануале об этом ничего нет..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

arraga

1. Флаг bAutoZooOnDelAll описан в FAQ-е.

2. на оф. сайте есть утилита cmpimg для сравнения образов, параметры полные пути до образов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Удалось установить - что это за зверюка.

Это: модификация Win32/Neurevt.A ( ESET )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

грум

потестить надо

хотя вот сразу - загрузчик может лежать на каком попало диске не обязательно на системном, только это уже затрудняет его добавку в известные, поэтому пока оставим как есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Rat Поймали !

http://rghost.ru/

52552011

:facepalm:

:lol:

:D

от Arkalik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

PR55.RP55

посмотрю, в безопасном режиме вытащали :)

только вот эта строчка в логе мне не нравится, особенно в безопасном режиме:

(!) Не удалось прочитать BOOT сектор диска , возможно в системе активен руткит!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

(!) Не удалось прочитать BOOT сектор диска , возможно в системе активен руткит!

юзер пишет что использует шифрование или диска или раздела

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Dosya isimleri rzsbkotiu.exe

beta (1).exe

Bot_Neurevt61.exe

https://www.virustotal.com/tr/file/5e54b7e6...a1247/analysis/

----------

https://www.virustotal.com/tr/file/5f7a773b...e2159/analysis/

bbnlmyqqs.exe

skskjbpjx.exe

rzsbkotiu.exe

big.exe

--------------

Как - то так ещё...

Может чего доп. подгружает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×