Перейти к содержанию

Recommended Posts

akoK

Мне не совсем понятна строка при очистке мусора в системе

Удаление исполняемых файлов из каталога: C:\WINDOWS\FONTS

Какой там мусор может быть? Эту функцию нужно перенести в отдельный твик или функцию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Что такое "стандартный виндовый загрузчик"? Как минимум для той же Vista+ таких комбинаций есть несколько (IPL + Extended IPL). Восстановление только одной из частей просто убьет ОС.

Стандартный - тот который самостоятельно прописывает соотв. система при установки с нуля на чистый раздел.

Насчет не загризится я проверю на 7-ке и висле, но пока я тестировал не было выявлено проблем с загрузкой 32-х битных систем при перезаписи одного лишь IPL, проверю и для 64-х битных систем. Можно для интереса и проверить и для основных активаторов к чему приведет перезапись только IPL, сдается мне что только к потере активации.

Еще раз - нельзя отделять код IPL (0 сектор) и Extended IPL (1+ сектора) - это единый блок кода со ссылками друг на друга. Поэтому разделение команд необходимо убрать совсем.

Есть подтверждение этому факту, хотя бы для стандартных виндузовых загрузчиков? Мне просто не начем щас самому дизассемблировать, чтоб убедиться в данном утверждении или опровергнуть его... увы, в моей основной машине не хватает мат. платы и процессора и хз сколько еще это продлитcя. :( Однако способ передачи управления на код в IPL в листингах что я помню, _косвенно говорит о том что это два независимых кода, разве что BPB может использоваться, но это ни разу не "связь".

Какой там мусор может быть? Эту функцию нужно перенести в отдельный твик или функцию.

Исполняемые файлы. Функция очистки от мусора разделена на 2 части, первая тотально все уничтожает, вторая уничтожает только исполняемые файлы, в FONTS исполняемых файлов быть НЕ должно. Поэтому нет необходимости в разделении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Есть подтверждение этому факту, хотя бы для стандартных виндузовых загрузчиков?

Достаточно лишь взглянуть на код загрузчика той же Win 7 RTM.

Скриншот приложен, на нем - функция-оболочка для чтения диска (расположена в IPL), и ее вызовы - как из IPL, так и из Extended IPL.

IPL.png

post-5690-1309939904_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK
FONTS исполняемых файлов быть НЕ должно

Если они там есть, то это ни разу не мусор. ;)

По опыту в FONTS если и сидят исполняемые файлы - то только зловреды. Тогда это не чистка мусора, а лечение. И стоит оформить отдельным пунктом: карантин и удаление исполняемых файлов в FONTS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Скриншот приложен

Хм... функция чтения секторов, принимается, потом еще сам посмотрю. В релизе 3.67 сделаю грыжик в окне записи загрузчика и будет по дефолту для NTFS переписывать все 16 секторов одной кнопкой или одной скриптовой командой, однако и раздельную запись убирать не буду, лишним мне кажется оно таки не будет. :)

Тогда это не чистка мусора, а лечение.

Нет, вирус не прописанный в автозагрузке есть просто мусор. Если же он прописан то и лечение будет другим.

При запуске из под PE версия 3.67 пытается анализировать c:\windows вместо выбранной системы.

А имя диска F не транслировалось, нет ифнормации о том что он в системе был C

а обработка файлов не имеющих пути идет на основании перменной PATH в реестре.

Соотв. и получается C.

Да и мало того например вот запись из реестра проверяемой системы:

HKLM\uvs_system\ControlSet001\Services\ASP.NET\Performance\Library

c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_perf.dll

А транслировать имя в F оснований у uVS просто нет.

Вот например %SystemRoot%\System32\cryptsvc.dll будет транслировано правильно поскольку в прямую указано %SystemRoot%

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Если это (в том числе и увеличение длины наименования) не нарушает структуру файла сигнатур... имхо, если и задумывать изменение структуры базы sqnz, то основательное, продуманное и обоснованное.

Возможно его и нет необходимости менять?

Просто вся информация вводимая в окно с примечанием/заметкой по зловреду Сохраняется/пишется в отдельный файл !?

Разве что нет отмены для одиночного файла по MD5

Вероятно стоит сделать.

* Кроме того, основное отличие моего предложения в том, что чётко = визуально в реестре/Образе uVS можно видеть что и где заблокировано.

И заблокировано ли вообще...

И копаться с MD5 ненужно.

Это уже другой поход получается - другая - поэтапная концепция.

Кроме того MD5 блокировка может по ряду причин и не сработать так как должно...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
однако и раздельную запись убирать не буду, лишним мне кажется оно таки не будет. :)

Предлагаю развить технологию для всего uVS - удалять файл не целиком, а половину отрезать. Ключи реестра модифицировать тоже наполовину. И MBR тоже. Даже можно ползунок сделать - восстановить 20%, а 80% не трогать. А что - лишним не будет :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Просто вся информация вводимая в окно с примечанием/заметкой по зловреду Сохраняется/пишется в отдельный файл

Это извращение.

Вероятно стоит сделать.

Пожалуй.

Юрий Паршин

Одна команда fixipl лечит Boot.Cidox просто и без проблем, мало того uVS НЕ предназначен для идиотов, поэтому тот кто за рулем сам решит стоит ли ему переписать VBR+IPL _даже_ если загрузчик в VBR успешно прошел проверку по базе или ограничиться лишь перезаписью не прошедшего проверку IPL.

Зачем выкидывать то что _уже написано и _уже работает, если оно никак не вредит процессу? Кто захочет тот будет использовать возможность раздельной перезаписи кто не захочет тот будет переписывать целиком.

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Юрий Паршин

Зачем выкидывать то что _уже написано и _уже работает, если оно никак не вредит процессу?

Одна команда "fixipl" убивает свежеустановленную немодифицированную ОС. Все понятно, вопросов больше нет.

Предлагаю переименовать утилиту в Universal Windows Killer.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Одна команда "fixipl" убивает свежеустановленную немодифицированную ОС. Все понятно, вопросов больше нет.

Увы убить немодифицированную никак не получится, ибо используется как раз стандартный виндузовый IPL, нет... конечно если версии перепутать то легко :D

Предлагаю переименовать утилиту в Universal Windows Killer.

Я подумаю, мне нравится как звучит. -_-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Увы убить немодифицированную никак не получится, ибо используется как раз стандартный виндузовый IPL.

Тогда дополняю, раз это неясно прозвучало - fixipl убивает свежеустановленную Vista или 2008 Server (у меня под рукой такие виртуалки). У них другой загрузочный сектор (отличный от ipl6) с другим расположением блоков кода.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
fixipl убивает свежеустановленную Vista

Вот это ближе к правде, висту я таки поленился проверять, кстати как 64-х битный xp. В любом случае спасибо за ценное замечание.

Как машинка вернется посмотрю чем там в висле отличается загрузчик если все так то повешу предупреждение на перезапись ipl. В любом случае до релиза v3.67 как до Китая пешком, много чего может измениться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Одна команда "fixipl" убивает свежеустановленную немодифицированную ОС. Все понятно, вопросов больше нет.

Предлагаю переименовать утилиту в Universal Windows Killer.

за всю историю применений uVS на техническом форуме в течение свыше года не было ни одного "нецеленаправленного убийства" системы, так что все таки uVS заметно отличается от прочих утилит с префиксом killer.

Цитата(PR55.RP55 @ 06.07.2011, 20:32) *

Вероятно стоит сделать.

Пожалуй.

Может тогда стоит выводить в лог инфо о блокировке объекта через MD5, и по контекстной функции из лога снимать блокировку отдельного объекта?

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Может тогда стоит выводить в лог инфо о блокировке объекта через MD5, и по контекстной функции из лога снимать блокировку отдельного объекта?

Можно, но чисто по MD5... а не трудновато будет? Может проще добавить функцию в контекстное меню конкретного файла?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Можно, но чисто по MD5... а не трудновато будет? Может проще добавить функцию в контекстное меню конкретного файла?

да, так лучше... не надо будет вычислять MD5 постоянно и сверять нет ли подобной записи в реестре. Вообще говоря, бывает, т.ч. рука тянется отключить что-то в автозапуске :), не удаляя файл, и не зачищая ссылок в реестре.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Не надо будет вычислять MD5

;)

http://www.linuxliveusb.com/

Free: Программки для расчёта:

CRC32;MD5;SHA1

*Расчётные данные помещаются в буфер обмена.

Портативные программы можно найти по дефолтному адресу:

C:\Program Files\LinuxLive USB Creator\bonus

LiLi's CRC32 Easy Hasher.exe

LiLi's MD5 Easy Hasher.exe

LiLi's SHA1 Easy Hasher.exe

*В режиме Live CD могут не работать.

*Дополнительно: http://forum.esetnod32.ru/forum8/topic2096/

  • Upvote 5
  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107
Программу пишу для себя и поскольку я не любитель изобретения велосипедов, соотв. и функционал/эргономика и представление/фильтрация информации кардинально отличается от программ предназначеных для сходных целей. Если кто знаком с моим софтом поймет о чем я

для желающих модифицировать uVS.

Все в ней подобранно нормально! а насчёт удаление всего файла или частичного (если имеется ввиду его излечение) то былобы здорово.

А Самое главное недавно лечил знакомым ПК. куреит ненашел, Касперский. Запустил uVS с USB-флешки (повезло зверь был несильно злой флешку неубил!) нашел процесс в автозапуске с интересным неймом = GuardGuard успешно удалил через перезагрузку. Огромное спасибо автору uVS. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
GuardGuard

Обычно это процесс прожденный mail.ru guard-ом. Незловредный конечно, но и пользы от него никакой.

По IPL:

Удалось таки починить рабочую машинку, соотв. просмотрев коды загрузчиков NT5.x/6.x сделал вывод о том что раздельная запись VBR и IPL ошибочна для _стандартных_ NT6.x загрузчиков. Соответственно команда fixipl будет удалена из релиза, а fixvbr всегда будет перезаписывать и то и другое, а раздельное представление в списке возможно останется в чисто информативных целях. Дополнительно возможна есть еще и _потенциальная проблема с GPT, придется пока запретить работу с физическими дисками объемом >2TB до тех пор пока мне в руки не попадет 3TB винт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

лечил машину последняя версия программы , в прочим как и антивирь ни чего не нашли !

uvs ругался на нестандартный загрузчик на все три раздела (хотя активный только 1, разумеется)

восстановление которого ни к чему не привело , автозагрузка чистая как слеза младенца ни каких левых процессов

темпы чистые, в живую с диска загрузка не происходит, запустить uvs на зараженной системе так и не удалось

в режиме от сбоев выдает ошибку при запуске 299 без каких либо описаний

восстановление из под ПЕ с помощью твиков ни привели ни к какому результату

но точно вирус очень грамотный !

при загрузке системы постепенно отрубает все подходы сначала дает запуск исполняемых файлов потом они зависают , потом перестает их запускать с разными ошибками "это не вин 32" , "недостаточно ресурсов" , "виндовс не знает к какому типу файлов это относиться" ,закрывает доступ к открытию папок , меняет и удаляет пункты контекстного меню , до полного ступора системы

из под защищенного режима почти тоже самое (два часа борьбы с этим монстром ни привели ни к какому результату вообще, пришлось переустановить что в последнее время для меня стало огромной редкостью)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Smit

Надо было sfc /scannow для начала, может просто запороты системные файлы были из-за кривого железа, кроме зловредов бывает дохлая память, разгон, самопроизвольные ремапы на подыхающем винте из-за включенного S.M.A.R.T. и т.д. т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

с железом там все в порядке, проверял (переустановка это дополнительно доказала ) а выполнение каких либо команд на живой системе блокировалось в плоть до отключения команды выполнить и удаление этого пункта до следующей перезагрузки

вообще такое надо на видео записывать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107
Обычно это процесс прожденный mail.ru guard-ом. Незловредный конечно, но и пользы от него никакой.

Да я просто неуточнил после удаления того процесса перестовало происходить заражение USB-Флешек.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

v3.67

Я учел некоторые пожелания, исправил по мелочам и добавил возможность включить поддержку AHCI - это не_лечебная фича, но довольно часто требуется, надоело уже руками включать.

База проверенных обновлена.

Финальный список исправлений:

o Добавлена поддержка сохранения и проверки кода загрузчика в VBR (бутсектор).

Поддерживается FAT12/FAT16/FAT32/NTFS/exFAT.

(!) Для FAT16/exFAT сохраняется код из бутсектора.

(!) Для FAT32 сохраняется код из бутсектора (420 байт + маркер + оставшийся код из 12-го _или_ 2-го сектора)

(!) Для NTFS сохраняется код из бутсектора без IPL в оставшихся 15 секторах.

Функция доступна в любом режиме.

o Добавлена поддержка сохранения и проверки кода NTFS IPL. (15 секторов за бутсектором NTFS)

Функция доступна в любом режиме.

o Добавлена возможность перезаписи загрузчика VBR (+IPL для NTFS).

(меню "Руткиты")

o Добавлена скриптовая команда fixvbr.

Пример: fixvbr c: 6

где с - имя загрузочного диска,

6 - весрия загрузчика (6 - Vista/Seven, 5 - 2k/xp/2k3)

Стандартные загрузчики лежат в файлах ipl5, ipl6, fat5, fat6, ntf5, ntf6.

Вы можете их заменить на свои копии снятые с помощью uVS, либо можете создать доп. файлы с версиями отличными от 5 и 6.

Команда fixvbr принимает в качестве второго параметра любое _число.

(!) Команда не_доступна при работе с удаленной системой.

o MBR/VBR/IPL загрузчики теперь проверяются по F4 вместе с обычными файлами в т.ч. и при работе с образом.

o Новый пункт в меню "Реестр" -> "[iNTEL] Включить поддержку AHCI..."

Функция доступна для активной и неактивной системы.

(Для XP/2k3 перед использованием см. AHCI.txt).

(!) Функция НЕ тестировалась на Windows 2000, для остальных систем без ограничений.

o Новые параметры в settings.ini

[settings]

; Фильтр по производителю антивируса через запятую.

vFilter (сторка)

Фильтр применяется в функциях массовой проверки файлов.

Результаты проверки антивирусом не попавшим в список учитываться не будут.

Пример: Kaspersky, DrWeb, AntiVir

(!) Для Jotti и VT имена антивирусов могут не совпадать, соотв. нужно

(!) указывать оба варианта.

; Автоматическая подстановка имени вируса при добавлении сигнатуры на основе ранне полученных данных с VT или JT.

vGetName (строка)

В строке можно указать через запятую производителей в порядке приоритета.

Пример: Kaspersky, DrWeb, AntiVir

o Добавлена возможность разблокировать запуск отдельного файла, заблокированного по хэшу.

Функция доступна в контекстном меню файла.

Скриптовая команда "rbl".

o Новая горячая клавиша Alt+M

Переключает режим поиска: по имени или по производителю.

o Разрешено добавление сигнатур из файлов находящихся в локальном Zoo.

(для всех режимов)

o В uVS добавлена базовая поддержка GPT.

Соотв. загрузчики присутствуют в списке под именем MBRGPT#...

o (!) Изменен формат базы вирусов.

Добавлена функция обнаружения повреждений базы.

Добавлено примечание (127 символов) и длина имени увеличена до 39 символов.

База конвертируется автоматически при первом ее изменении.

Импорт поддерживается из обоих форматов.

o (!) Изменен формат файла сверки.

Теперь для сверки сохраняется весь код в MBR+VBR+IPL.

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
v3.67

1. пока нет возможности проверить лечение буткита

2. vFilter, vGetName то, что надо... единственно, может еще сделать переименование существующих уже в списке сигнатур по такому же принципу. через контекстное меню добавить функцию "переименовать сигнатуру" через vGetName чтобы в свободное время привести в порядок базу сигнатур.

3. фильтрующий поиск с переключением (по ALT-M) все, ок, работает.

4. по формату базы - думаю, импорт теперь становится более удобен. (RP55 можно переименоваться в RP55+). :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×