Перейти к содержанию

Recommended Posts

WindR

В 64-bit системе не просматриваются скрипты, находящиеся в папке system32.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 64-bit системе не просматриваются скрипты, находящиеся в папке system32.

А если выбрать 64-х битный текстовый редактор и попробовать снова? ;) Или поискать 32-х битный умеющий отключать системный редиректор при ссылке на тот же System32.

Только есть тут ограничение одно - редактор должен лежать по пути НЕ попадающим под системный редиректор.

Вообще я рекомендую завести отдельную папку под него в каталоге uVS и использовать относительные пути, как для файлового менеджера - это позволит легко переносить пакет на флешку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindR
А если выбрать 64-х битный текстовый редактор и попробовать снова? Или поискать 32-х битный умеющий отключать системный редиректор при ссылке на тот же System32.

Не знаю, есть ли такой.

Проверил на http://rutracker.org/forum/viewtopic.php?t=3440642 свежеустановленной сборке, также зависает при проверке подписей файлов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Не знаю, есть ли такой.

Я тоже, но могу адаптировать DSRT под эту задачу, он портабельный и мелкий, вполне подойдет таскать вместе с uVS-ом. Хотя может стоит глянуть исходники 32-х битного notepad++, приятного своей синтаксической подсветкой, не думаю что сложно будет добавить в него пару функций для отключения/включения редиректора и он таки станет x64 совместимым.

свежеустановленной сборке, также зависает при проверке подписей файлов.

Ладно, скачаю гляну, но думаю это проблема пионеров собирающих _понятно что своими грязными руками.

Я проверял на оригинальном X64 и с SP1 и без него никаких зависаний не наблюдалось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
v3.50 релиз

Исправлений много, отмечу лишь основные моменты:

фундаментальный релиз.

сегодня при исследовании образа зараженной системы

http://forum.esetnod32.ru/forum6/topic1621/

правило ссылка содержит services\mkdrv автоматически выдернуло руткитный драйвер C:\WINDOWS\GBHNT.SYS (новое имя) в подозрительные

проверка списка подозрительных на Вирустотал подтверждает, что данный драйвер детектируется 29 из 43 антивирусами.

Kaspersky:Rootkit.Win32.Qhost.cd

NOD32:a variant of Win32/Rootkit.Kryptik.CQ

Symantec: Hacktool.Rootkit

далее, автоматическое добавление сигнатуры,

и... юзер уже вооружен скриптом. :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Проверил на http://rutracker.org/forum/viewtopic.php?t=3440642 свежеустановленной сборке, также зависает при проверке подписей файлов.

Пока обедал проставилась сборка, ничего в нее не ставил, в т.ч. и специфические дрова под железо, проверил и с подключением в инет и без, проверял по F6 и индивидуально через контекстное меню и через меню Подпись/Хэш, файлы разные с внутренней подписью, без подписи и с внешней в CatRoot

Итог: ни одного зависания. Вообще в автозапуске только один файл не подписан... кстати странно... это файл по фамилии Flash64_10_3_162.OCX адобовский, но без подписи, экзотика однако ;) А так обычная сборка даже без руткитов в комплекте :)

Т.е. вывод какой: либо мне отчаянно везет, либо дополнительно ставился какой-то софт, какие-то драйвера, применялись какие-либо "полезные твики" или сборка активировалась не(?)понятно чем (сборка самостоятельно НЕактвировалась, видимо действительно Lite как пишут в описании)

фундаментальный релиз.

Ага, на этом фундаменте можно уже самостоятельно много чего построить. :) А если поработать над объемами полезной информации собираемой по каждому файлу, то лечение станет совсем уже скучным и простым делом :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

WindR

Добился я таки зависания, правда для этого надо было поставить грыжик "Замораживать все потоки внедряемые в uVS (возможны сбои)", который я уже давно не ставлю за бесполезностью. :D Без грыжика не виснет, причем подобный эффект в XP не проявляется, короче посмотрю в чем там дело, если проблема рашаема то пофиксю, если нет и система создает отдельный поток при проверке подписи то принудительно засерю грыжик для 7X64 в след. версии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

demkd отдельное спасибо за кнопочку просмотра скриптов !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

вчера ковырял win7 x64 на предмет: после вирусного вмешательства, в хосте прописаны левые ссылки, нарушена ассоциация файлов, запуск вин 32 не возможен и тд

запустил uvs из под батника ,который просто запускает программу ... восстановил хост ,как восстановить ассоциация файлов не нашел в программе (ткните носом) пришлось запустить AVZ (тоже батником) и восстанавливать из под него

ps самого зверя так и не нашел (ни утилитами ни антивирями, благо все заработало!)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

собственно разобрался можно было применить два твика (к стати почему не объединить в один?) или использовать unlock.inf

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
почему не объединить в один

если речь про 22-й твик то он не будет работать если нет бэкапа, его не стоит объединять с чем-либо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Кстати сегодня полечил удаленно свеженький мод, щас только его Касперский добавил Trojan.Win32.Zapchast.ewz традиционным методом лечить не стоит, синий экран, как и в AVZ, а вот легко проходит безопасная виртуализация с удалением лишь ссылок и актуализацией, затем вторым скриптом подбирается тушка и все, все-таки не зря делал "виртуализацию", пригодилось самому :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Приветствую.

такое пожелание есть.

дополнительно создать список контроля приложений. (аналогично списку критериев поиска).

Сейчас когда мы завершаем лечение юзеров - как правило, предлагаем обновить программы работающие с контентом из инет до текущих версий. Даем ссылку на тему, где перечислен ряд приложений, которые рекомендуется регулярно обновлять.

Список должен содержать как минимум: название программы_приложения, текущую версию.

Вести данный список ИЗБИРАТЕЛЬНО должен сам хелпер, но с помощью uVS извлекать данные для записи из окна "Установленные программы" с помощью функции контекстного меню - например, добавить информацию в список контроля.

(можно использовать список установленных программ, созданный uVS в своей системе)

в режиме тесты можно добавить функцию - выполнить контроль версий приложений.

В этом режиме uVS выполняет сравнение версий программ из списка контроля приложений хелпера с инфо образа автозапуска юзера, и выдает, например в скрипт (если работаем с образом автозапуска) рекомендации в виде строк комментариев:

; обновить приложение Mozilla Firefox до текущей версии 3.6.14

; обновить приложение Mozilla Thunderbird до текущей версии 3.1.7

...

; обновить приложение Adobe Flash Player до текущей версии 10.2.152.32

данный блок из скрипта можно копировать в тему сообщения на форум дополнительно к рекомендациям по обновлению программ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit
Приветствую.

такое пожелание есть.

дополнительно создать список контроля приложений. (аналогично списку критериев поиска).

Сейчас когда мы завершаем лечение юзеров - как правило, предлагаем обновить программы работающие с контентом из инет до текущих версий...

это вроде грамотного развода пользователей!?, дескать: "у вас программы протухли!,истек срок годности!" а давайте ка обновим после вирусной атаки все:

биосы на материнке , винчестер ,ЦДРОМ , видеокарте...

все драйверы,

все программы (у некоторых они по 30 штук инсталлированы и более)и игры обязательно до новых версий в общем трафику гигов на 700 и на трое суток работы и настроек !

результат ... по больше денег взять с лоха ушастого..

да и программ ОБНОВЛЯТЕРОВ СОФТА без этого хватает (по моему скромному мнению)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
результат ... по больше денег взять с лоха ушастого..

Денег они конечно не берут :D Однако совершенно точно можно сказать, что рекомендации по обновлению выполняет незначительная часть народа, из которых большая часть обновляется лишь после очередного заражения, поэтому результата действительно нет и не будет.

дополнительно создать список контроля приложений. (аналогично списку критериев поиска).

Оно конечно было бы теоретически полезно, но в реальности это будет лишь бесполезная трата времени как раз со стороны хелпера.

Проще и полезней (для здоровья) один раз набить HTML со ссылками на страницы или (что лучше для домохозяек) прямые ссылки на загрузку актуальных версий особо дырявых продуктов + на CureIt/KVRT/MBAM/RKU/страницы_для_подбора_кода и выдавать эту страничку юзверю как памятку :)

Возможно после 5-го обращения юзверь подумает да и обновится, а когда и самоизлечится без обращения к хелперу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
это вроде грамотного развода пользователей!?, дескать: "у вас программы протухли!,истек срок годности!" а давайте ка обновим после вирусной атаки все:

...

бывает, действительно так, что "программы протухли", да вот надо лишний раз глянуть в список установленных программ юзера, чтобы заявить об этом во всеуслышание. :).

но в общем, согласен с demkd - достаточно будет добавить ссылку на страничку с обновлениями софта, дабы человек мог и самостоятельность проявить. (т.е. эффект здесь минимальный.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

v3.51

Небольшой багфикс + версия будет приятна тем кто использует сетевой режим, да и вообще с базой проверенных все доделано до упора :)

o Из-за значительного размера базы проверенных файлов (SHA1) отменено ее копирование

на удаленный компьютер, что значительно сокращает время загрузки и экономит

системные ресурсы проверяемой машины.

(!) ВСЕ функции имеющие отношение к базе проверенных файлов работают как и раньше.

(!) Функциональных потерь нет, база SHA1 стала локальной.

o Новый параметр в settings.ini

[settings]

; Имя пользовательской базы проверенных файлов

Sha1Name (по умолчанию SHA1)

o Добавлена возможность использования дополнительных баз проверенных файлов.

Каталог для дополнительных баз называется SHA (в каталоге uVS).

Дополнительные базы загружаются автоматически и только в R/O режиме.

Загрузка происходит as is т.е. все _дополнительные_ базы загружаются в отдельный массив данных

находящийся в оперативной памяти...

(!) БЕЗ анализа их содержимого на пересечение между собой и пользовательской базой.

(!) Добавить хэш в пользовательскую базу возможно лишь при отсутствии хэша во ВСЕХ загруженных

(!) базах. Удалить хэш можно лишь из пользовательской базы проверенных файлов.

Т.е. схема использования набора баз простая: каждый кто хочет выложить свою базу

для общего пользования называет ее уникальным образом, пользователь собирает

дополнительные базы в каталог SHA, соотв. пользователь имеет собственную доступную для изменений

базу (возможно с уникальным именем, см. выше Sha1Name) и набор R/O баз за редактирование которых

отвечают уже их создатели.

o Теперь НЕ замораживаются потоки на базе известных модулей.

(для совместимости с Windows 7 X64)

o В 64-битных системах теперь по умолчанию используется 64-х битный notepad.

o Оптимизирована функция "Добавить хэши всех проверенных файлов в базу проверенных".

o Функция "Импортировать базу хэшей проверенных файлов" теперь доступна во всех режимах.

o Детализированы некоторые типы ссылок в окне информации о файле.

o В список добавлен 1 ключ MSIE.

o Исправлены ошибки в функции повторного открытии образа автозапуска.

o Исправлена ошибка в функции импорта базы поисковых критериев,

результирующая база не всегда сохранялась.

o Исправлены проблемы с вычислением хэшей файлов находящихся в локальном Zoo при работе

с удаленной системой или образом автозапуска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
omnilynx13

Здравствуйте Дмитрий! Большое спасибо, за очередной релиз и развитие программы. Вчера поймал вот это убил uVS... стоит Каспер 2010 (до этого Др.Веб, Авира, Симантик, Нод...), вот думаю может на х, его. 90 % заражений всегда было что-то новое и всё время убивать приохотиться ручками, а uVS для этого дела самая милая прога (чаще всего юзаю связку uVS+AVZ).

И позволю себе вопросик (сорри если нубский). из неактивной системы можно будет через uVS на virustotal отправить файлы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
И позволю себе вопросик (сорри если нубский). из неактивной системы можно будет через uVS на virustotal отправить файлы?

Нет, отправлять нельзя ни в каком режиме, отправка файлов только ручками через браузер или VTUpload (хотя его я как раз и нерекомендую), а вот проверить по хэшу можно опять же в любом режиме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
v3.51

Небольшой багфикс + версия будет приятна тем кто использует сетевой режим, да и вообще с базой проверенных все доделано до упора :)

...

o Добавлена возможность использования дополнительных баз проверенных файлов.

Получил по азбуке Морзе сообщение от uVS при загрузке образа автозапуска - стал размышлять над вопросами. :)

стало быть, сейчас два варианта работы с sha1:

1. вести свою (MAIN) базу, и импортировать дополнительно хэши от доверенных создателей

2. вести свою (MAIN) базу, и добавлять файлы хэшей от доверенных создателей в подкаталог SHA.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Получил по азбуке Морзе сообщение от uVS при загрузке образа автозапуска

Это надо лог смотреть, но основная причина - попытка загрузить _поврежденную базу проверенных, как из SHA так и пользовательскую.

стало быть, сейчас два варианта работы с sha1:

Не совсем так, стоит вести свою базу с любым именем в корне uVS, а в SHA складировать все чужие базы, в т.ч. и мою main, что полностью избавляет от необходимости что-либо импортировать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Это надо лог смотреть, но основная причина - попытка загрузить _поврежденную базу проверенных, как из SHA так и пользовательскую.

сразу не разобрался что в sha должны быть файлы только соответствующего формата, скопировал туда и txt, и архив main. :).

Не совсем так, стоит вести свою базу с любым именем в корне uVS, а в SHA складировать все чужие базы, в т.ч. и мою main, что полностью избавляет от необходимости что-либо импортировать.

в принципе, любой из вариантов устраивает:

и ведение своей мастер базы + импорт хэшей разработчика

и ведение своей мастер базы + складирование в SHA R/O доверенных баз.

второй вариант, конечно, гибче.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Кстати сегодня полечил удаленно свеженький мод, щас только его Касперский добавил Trojan.Win32.Zapchast.ewz традиционным методом лечить не стоит, синий экран, как и в AVZ, а вот легко проходит безопасная виртуализация с удалением лишь ссылок и актуализацией, затем вторым скриптом подбирается тушка и все, все-таки не зря делал "виртуализацию", пригодилось самому :)

кстати, да. метод работает. :).

еще если безопасный режим недоступен (нет возможности выполнить скрипт c командами addsgn&chklst&delvir в Safe mode), проходит безопасная виртуализация, удаление ссылок (delref - значит не исчерпала свои возможности команда с адресным удалением ссылок :)) и актуализация.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

demkd

как то подчищал битую вирусами машину, и почему то неправильно отработала команда ALT+DEL

а именно действия как бы происходили по обычному сценарию только ни чего не удалялось о чем честно было написано удалено 0 и тд

команды по отдельности отработали как положено

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
команды по отдельности отработали как положено

проверю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×