Перейти к содержанию

Recommended Posts

santy

AutoConfigURL работает

-----------

Полное имя хттп://LASUPPORTE.COM/SKTK28E/GOOGLE.PAC

Имя файла хттп://LASUPPORTE.COM/SKTK28E/GOOGLE.PAC

Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям

AUTOCONFIGURL (AUTOCONFIGURL ~ .PAC)(1)

Сохраненная информация на момент создания образа

Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Ссылки на объект

Ссылка HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL

AutoConfigURL хттп://lasupporte.com/SKtk28e/google.pac

Ссылка HKEY_USERS\S-1-5-21-1433674745-3102490473-1095164493-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL

AutoConfigURL хттп://lasupporte.com/SKtk28e/google.pac

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Встреча uVS с Лешим \

Актуально для всех версий.

Пример Видео/exe/архив: http://rghost.ru/43184910

+

Также:

Если применить команду: "Добавить хэши исполняемых файлов каталога в базу проверенных"

uVS просто вылетает... ( Как это было при копировании полного пути )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

По эвристике.

C:\WINDOWS\SYSTEM32\ISM\CFTMON.EXE

В подозрительные не попал...

см.Образ/пример в теме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Hotab

Всем привет!

Тема: http://virusinfo.info/showthread.php?t=131807

Был сделан лог ComboFix, где был найден файл c:\users\Public\Documents\Documents.exe, далее лог uVS, его нет там! Как это можно объяснить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Всем привет!

Тема: http://virusinfo.info/showthread.php?t=131807

Был сделан лог ComboFix, где был найден файл c:\users\Public\Documents\Documents.exe, далее лог uVS, его нет там! Как это можно объяснить?

все зависит от того в каком порядке вы делали логи.

если вначале был сделан лог Combofix, то uVS его естественно не найдет, потому как он автоматически удален в Комбофикс.

если же вначале был сделан образ uVS, (а уже после лог Combofix) то можно предположить, что данного файла Documents.exe нет в автозапуске системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Был сделан лог ComboFix, где был найден файл c:\users\Public\Documents\Documents.exe, далее лог uVS

похоже Hotab неправильно выразился, судя по ссылке сначала шёл uVS, а далее лог ComboFix. Если кто-нибудь там запросил бы карантин ComboFix то думаю легче было бы сказать, почему не видно. По крайней мере был бы сэмпл на руках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Hotab
похоже Hotab неправильно выразился, судя по ссылке сначала шёл uVS, а далее лог ComboFix. Если кто-нибудь там запросил бы карантин ComboFix то думаю легче было бы сказать, почему не видно. По крайней мере был бы сэмпл на руках.

Точно, не так выразился (засыпал уже :( ) Сэмпл попробую достать!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Точно, не так выразился (засыпал уже :( ) Сэмпл попробую достать!

похоже, не совсем еще проснулся. Какой смысл в сэмпле, если проблема в другом. Был он в автозапуске или нет. комбофикс удалил, следов в автозапуске в логе Комбофикс нет. Мало ли вирусов лежит на диске, почему они все должны быть в образе. команду adddir используем, если надо чтобы исполняемые из каталога попали в образ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Скопировал скрипт на больном компе и промазал. Вместо start, нажал на startf. После человек пропал со скайпа и меня оттуда выкинуло. Ничего плохо не могло случится? И что это за файл startf? Боюсь, что что-то не то сделал.

Пишет теперь при загрузке винды UVS V3. Винда не загружается, что делать?

Фуууухххх, хорошо, что он смог загрузиться, иначе, не знаю чего делал бы. А что все-таки за файл тот был?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
А что все-таки за файл тот был?

при удаленном подключении управление рабочим столом будет потеряно. (так что нельзя промахнуться мимо start.exe)

В версии 2.70 добавлен дополнительный стартер - StartF.exe

Этот файл обладает иммунитетом к некоторым видам троянов, блокирующих запуск любых процессов и

соотв. способен запуститься, когда запуск других приложений НЕвозможен.

При запуске он блокирует:

o внедрение библиотек с помощью реестра в запускаемый процесс.

o запуск и перезапуск служб

и (!) выгружает все НЕизвестные процессы, разрешает запуск редактора реестра и диспетчера задач,

после чего запускает start.exe с ключом /d на (чистом рабочем столе), что практически полностью

исключает внедрение в uvs посторонних DLL.

(!) Startf.exe работает в течении 30 секунд и за это время необходимо выбрать параметры запуска uvs.

(!) StartF должен завершиться самостоятельно, выгружать его насильно не стоит.

(!) Перед завершением startf разблокирует запуск служб и снимает запрет на внедрение DLL.

(!) До завершения startf не_рекомендуется предпринимать активные действия в uvs.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
stoyn

Уведомление локальных событий.

Тип события: Уведомление

Источник события: Application Popup

Категория события: Отсутствует

Код события: 26

Дата: 10.02.2013

Время: 13:48:26

Пользователь: Н/Д

Компьютер:

Описание:

Всплывающее окно приложения: [C:\WINDOWS] uVS v3.77.5 Copyright © Кузнецов Д.М. 2009-12 [ dsrt.dyndns.org ]: qiqria - Ошибка приложения : Инструкция по адресу "0x0041d491" обратилась к памяти по адресу "0xffffffff". Память не может быть "read".

"ОК" -- завершение приложения

"Отмена" -- отладка приложения

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

stoyn

Хорошо бы еще минидамп получить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
stoyn
stoyn

Хорошо бы еще минидамп получить.

Есть минидамп,как и куда отправить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

При проверке файлов из образа на VT наблюдаю такую картину

213e76f515fb.jpg

Вот образ автозапуска, но не думаю, что это связано с ним, т.к. это повторилось на нескольких.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

Вот, хотел то же самое написать. Что-то в API подкрутили на VT.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Вот ещё красота

026c37a24107.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

stoyn

спасибо, посмотрю, в какой момент срубился uVS?

по VT см. раздел тестирования, в 3.77.6 проблема устранена.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
stoyn
stoyn

спасибо, посмотрю, в какой момент срубился uVS?

по VT см. раздел тестирования, в 3.77.6 проблема устранена.

Минидамп ошибки при попытке запуска 3.77.6

WER1580.dir00.zip

WER1580.dir00.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

stoyn

а без грыжика "антисплайсинг" запускается?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

У функции "Включить поддержку AHCI" обнаружился полезный побочный эффект, с помощью нее можно легко без переустановки переносить систему на любое новое железо (конечно пока только Intel и только с поддержкой AHCI), даже если предварительная установка стандартного PCI-IDE контроллера и включение IDE совместимого режима контроллера в BIOS-е приводит к BSOD-у.

Добавлю еще функцию интеграции IDE совместимых устройств и тогда апгрейд и даунгрейд железа ВСЕГДА будет проходить без переустановки системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

stoyn

минидамп не помог, но могу дать debug версию возможно с нее дамп будет полезен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
stoyn
stoyn

минидамп не помог, но могу дать debug версию возможно с нее дамп будет полезен.

Можно попробовать.Кстати у меня такая проблема на двух машинах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

stoyn

http://dsrt.dyndns.org/files/uvs_debug.7z

положить в каталог uvs и запустить, если запустится и будет работать без проблем то дело таки в опциях запуска, скорее всего в антисплайсинге

если срубится то минидамп мне :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
stoyn
stoyn

http://dsrt.dyndns.org/files/uvs_debug.7z

положить в каталог uvs и запустить, если запустится и будет работать без проблем то дело таки в опциях запуска, скорее всего в антисплайсинге

если срубится то минидамп мне :)

Минидамп 19.02.13

____.7z

____.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×