Перейти к содержанию

Recommended Posts

WindR

В 64-bit системе не просматриваются скрипты, находящиеся в папке system32.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 64-bit системе не просматриваются скрипты, находящиеся в папке system32.

А если выбрать 64-х битный текстовый редактор и попробовать снова? ;) Или поискать 32-х битный умеющий отключать системный редиректор при ссылке на тот же System32.

Только есть тут ограничение одно - редактор должен лежать по пути НЕ попадающим под системный редиректор.

Вообще я рекомендую завести отдельную папку под него в каталоге uVS и использовать относительные пути, как для файлового менеджера - это позволит легко переносить пакет на флешку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindR
А если выбрать 64-х битный текстовый редактор и попробовать снова? Или поискать 32-х битный умеющий отключать системный редиректор при ссылке на тот же System32.

Не знаю, есть ли такой.

Проверил на http://rutracker.org/forum/viewtopic.php?t=3440642 свежеустановленной сборке, также зависает при проверке подписей файлов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Не знаю, есть ли такой.

Я тоже, но могу адаптировать DSRT под эту задачу, он портабельный и мелкий, вполне подойдет таскать вместе с uVS-ом. Хотя может стоит глянуть исходники 32-х битного notepad++, приятного своей синтаксической подсветкой, не думаю что сложно будет добавить в него пару функций для отключения/включения редиректора и он таки станет x64 совместимым.

свежеустановленной сборке, также зависает при проверке подписей файлов.

Ладно, скачаю гляну, но думаю это проблема пионеров собирающих _понятно что своими грязными руками.

Я проверял на оригинальном X64 и с SP1 и без него никаких зависаний не наблюдалось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
v3.50 релиз

Исправлений много, отмечу лишь основные моменты:

фундаментальный релиз.

сегодня при исследовании образа зараженной системы

http://forum.esetnod32.ru/forum6/topic1621/

правило ссылка содержит services\mkdrv автоматически выдернуло руткитный драйвер C:\WINDOWS\GBHNT.SYS (новое имя) в подозрительные

проверка списка подозрительных на Вирустотал подтверждает, что данный драйвер детектируется 29 из 43 антивирусами.

Kaspersky:Rootkit.Win32.Qhost.cd

NOD32:a variant of Win32/Rootkit.Kryptik.CQ

Symantec: Hacktool.Rootkit

далее, автоматическое добавление сигнатуры,

и... юзер уже вооружен скриптом. :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Проверил на http://rutracker.org/forum/viewtopic.php?t=3440642 свежеустановленной сборке, также зависает при проверке подписей файлов.

Пока обедал проставилась сборка, ничего в нее не ставил, в т.ч. и специфические дрова под железо, проверил и с подключением в инет и без, проверял по F6 и индивидуально через контекстное меню и через меню Подпись/Хэш, файлы разные с внутренней подписью, без подписи и с внешней в CatRoot

Итог: ни одного зависания. Вообще в автозапуске только один файл не подписан... кстати странно... это файл по фамилии Flash64_10_3_162.OCX адобовский, но без подписи, экзотика однако ;) А так обычная сборка даже без руткитов в комплекте :)

Т.е. вывод какой: либо мне отчаянно везет, либо дополнительно ставился какой-то софт, какие-то драйвера, применялись какие-либо "полезные твики" или сборка активировалась не(?)понятно чем (сборка самостоятельно НЕактвировалась, видимо действительно Lite как пишут в описании)

фундаментальный релиз.

Ага, на этом фундаменте можно уже самостоятельно много чего построить. :) А если поработать над объемами полезной информации собираемой по каждому файлу, то лечение станет совсем уже скучным и простым делом :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

WindR

Добился я таки зависания, правда для этого надо было поставить грыжик "Замораживать все потоки внедряемые в uVS (возможны сбои)", который я уже давно не ставлю за бесполезностью. :D Без грыжика не виснет, причем подобный эффект в XP не проявляется, короче посмотрю в чем там дело, если проблема рашаема то пофиксю, если нет и система создает отдельный поток при проверке подписи то принудительно засерю грыжик для 7X64 в след. версии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

demkd отдельное спасибо за кнопочку просмотра скриптов !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

вчера ковырял win7 x64 на предмет: после вирусного вмешательства, в хосте прописаны левые ссылки, нарушена ассоциация файлов, запуск вин 32 не возможен и тд

запустил uvs из под батника ,который просто запускает программу ... восстановил хост ,как восстановить ассоциация файлов не нашел в программе (ткните носом) пришлось запустить AVZ (тоже батником) и восстанавливать из под него

ps самого зверя так и не нашел (ни утилитами ни антивирями, благо все заработало!)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

собственно разобрался можно было применить два твика (к стати почему не объединить в один?) или использовать unlock.inf

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
почему не объединить в один

если речь про 22-й твик то он не будет работать если нет бэкапа, его не стоит объединять с чем-либо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Кстати сегодня полечил удаленно свеженький мод, щас только его Касперский добавил Trojan.Win32.Zapchast.ewz традиционным методом лечить не стоит, синий экран, как и в AVZ, а вот легко проходит безопасная виртуализация с удалением лишь ссылок и актуализацией, затем вторым скриптом подбирается тушка и все, все-таки не зря делал "виртуализацию", пригодилось самому :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Приветствую.

такое пожелание есть.

дополнительно создать список контроля приложений. (аналогично списку критериев поиска).

Сейчас когда мы завершаем лечение юзеров - как правило, предлагаем обновить программы работающие с контентом из инет до текущих версий. Даем ссылку на тему, где перечислен ряд приложений, которые рекомендуется регулярно обновлять.

Список должен содержать как минимум: название программы_приложения, текущую версию.

Вести данный список ИЗБИРАТЕЛЬНО должен сам хелпер, но с помощью uVS извлекать данные для записи из окна "Установленные программы" с помощью функции контекстного меню - например, добавить информацию в список контроля.

(можно использовать список установленных программ, созданный uVS в своей системе)

в режиме тесты можно добавить функцию - выполнить контроль версий приложений.

В этом режиме uVS выполняет сравнение версий программ из списка контроля приложений хелпера с инфо образа автозапуска юзера, и выдает, например в скрипт (если работаем с образом автозапуска) рекомендации в виде строк комментариев:

; обновить приложение Mozilla Firefox до текущей версии 3.6.14

; обновить приложение Mozilla Thunderbird до текущей версии 3.1.7

...

; обновить приложение Adobe Flash Player до текущей версии 10.2.152.32

данный блок из скрипта можно копировать в тему сообщения на форум дополнительно к рекомендациям по обновлению программ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit
Приветствую.

такое пожелание есть.

дополнительно создать список контроля приложений. (аналогично списку критериев поиска).

Сейчас когда мы завершаем лечение юзеров - как правило, предлагаем обновить программы работающие с контентом из инет до текущих версий...

это вроде грамотного развода пользователей!?, дескать: "у вас программы протухли!,истек срок годности!" а давайте ка обновим после вирусной атаки все:

биосы на материнке , винчестер ,ЦДРОМ , видеокарте...

все драйверы,

все программы (у некоторых они по 30 штук инсталлированы и более)и игры обязательно до новых версий в общем трафику гигов на 700 и на трое суток работы и настроек !

результат ... по больше денег взять с лоха ушастого..

да и программ ОБНОВЛЯТЕРОВ СОФТА без этого хватает (по моему скромному мнению)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
результат ... по больше денег взять с лоха ушастого..

Денег они конечно не берут :D Однако совершенно точно можно сказать, что рекомендации по обновлению выполняет незначительная часть народа, из которых большая часть обновляется лишь после очередного заражения, поэтому результата действительно нет и не будет.

дополнительно создать список контроля приложений. (аналогично списку критериев поиска).

Оно конечно было бы теоретически полезно, но в реальности это будет лишь бесполезная трата времени как раз со стороны хелпера.

Проще и полезней (для здоровья) один раз набить HTML со ссылками на страницы или (что лучше для домохозяек) прямые ссылки на загрузку актуальных версий особо дырявых продуктов + на CureIt/KVRT/MBAM/RKU/страницы_для_подбора_кода и выдавать эту страничку юзверю как памятку :)

Возможно после 5-го обращения юзверь подумает да и обновится, а когда и самоизлечится без обращения к хелперу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
это вроде грамотного развода пользователей!?, дескать: "у вас программы протухли!,истек срок годности!" а давайте ка обновим после вирусной атаки все:

...

бывает, действительно так, что "программы протухли", да вот надо лишний раз глянуть в список установленных программ юзера, чтобы заявить об этом во всеуслышание. :).

но в общем, согласен с demkd - достаточно будет добавить ссылку на страничку с обновлениями софта, дабы человек мог и самостоятельность проявить. (т.е. эффект здесь минимальный.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

v3.51

Небольшой багфикс + версия будет приятна тем кто использует сетевой режим, да и вообще с базой проверенных все доделано до упора :)

o Из-за значительного размера базы проверенных файлов (SHA1) отменено ее копирование

на удаленный компьютер, что значительно сокращает время загрузки и экономит

системные ресурсы проверяемой машины.

(!) ВСЕ функции имеющие отношение к базе проверенных файлов работают как и раньше.

(!) Функциональных потерь нет, база SHA1 стала локальной.

o Новый параметр в settings.ini

[settings]

; Имя пользовательской базы проверенных файлов

Sha1Name (по умолчанию SHA1)

o Добавлена возможность использования дополнительных баз проверенных файлов.

Каталог для дополнительных баз называется SHA (в каталоге uVS).

Дополнительные базы загружаются автоматически и только в R/O режиме.

Загрузка происходит as is т.е. все _дополнительные_ базы загружаются в отдельный массив данных

находящийся в оперативной памяти...

(!) БЕЗ анализа их содержимого на пересечение между собой и пользовательской базой.

(!) Добавить хэш в пользовательскую базу возможно лишь при отсутствии хэша во ВСЕХ загруженных

(!) базах. Удалить хэш можно лишь из пользовательской базы проверенных файлов.

Т.е. схема использования набора баз простая: каждый кто хочет выложить свою базу

для общего пользования называет ее уникальным образом, пользователь собирает

дополнительные базы в каталог SHA, соотв. пользователь имеет собственную доступную для изменений

базу (возможно с уникальным именем, см. выше Sha1Name) и набор R/O баз за редактирование которых

отвечают уже их создатели.

o Теперь НЕ замораживаются потоки на базе известных модулей.

(для совместимости с Windows 7 X64)

o В 64-битных системах теперь по умолчанию используется 64-х битный notepad.

o Оптимизирована функция "Добавить хэши всех проверенных файлов в базу проверенных".

o Функция "Импортировать базу хэшей проверенных файлов" теперь доступна во всех режимах.

o Детализированы некоторые типы ссылок в окне информации о файле.

o В список добавлен 1 ключ MSIE.

o Исправлены ошибки в функции повторного открытии образа автозапуска.

o Исправлена ошибка в функции импорта базы поисковых критериев,

результирующая база не всегда сохранялась.

o Исправлены проблемы с вычислением хэшей файлов находящихся в локальном Zoo при работе

с удаленной системой или образом автозапуска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
omnilynx13

Здравствуйте Дмитрий! Большое спасибо, за очередной релиз и развитие программы. Вчера поймал вот это убил uVS... стоит Каспер 2010 (до этого Др.Веб, Авира, Симантик, Нод...), вот думаю может на х, его. 90 % заражений всегда было что-то новое и всё время убивать приохотиться ручками, а uVS для этого дела самая милая прога (чаще всего юзаю связку uVS+AVZ).

И позволю себе вопросик (сорри если нубский). из неактивной системы можно будет через uVS на virustotal отправить файлы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
И позволю себе вопросик (сорри если нубский). из неактивной системы можно будет через uVS на virustotal отправить файлы?

Нет, отправлять нельзя ни в каком режиме, отправка файлов только ручками через браузер или VTUpload (хотя его я как раз и нерекомендую), а вот проверить по хэшу можно опять же в любом режиме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
v3.51

Небольшой багфикс + версия будет приятна тем кто использует сетевой режим, да и вообще с базой проверенных все доделано до упора :)

...

o Добавлена возможность использования дополнительных баз проверенных файлов.

Получил по азбуке Морзе сообщение от uVS при загрузке образа автозапуска - стал размышлять над вопросами. :)

стало быть, сейчас два варианта работы с sha1:

1. вести свою (MAIN) базу, и импортировать дополнительно хэши от доверенных создателей

2. вести свою (MAIN) базу, и добавлять файлы хэшей от доверенных создателей в подкаталог SHA.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Получил по азбуке Морзе сообщение от uVS при загрузке образа автозапуска

Это надо лог смотреть, но основная причина - попытка загрузить _поврежденную базу проверенных, как из SHA так и пользовательскую.

стало быть, сейчас два варианта работы с sha1:

Не совсем так, стоит вести свою базу с любым именем в корне uVS, а в SHA складировать все чужие базы, в т.ч. и мою main, что полностью избавляет от необходимости что-либо импортировать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Это надо лог смотреть, но основная причина - попытка загрузить _поврежденную базу проверенных, как из SHA так и пользовательскую.

сразу не разобрался что в sha должны быть файлы только соответствующего формата, скопировал туда и txt, и архив main. :).

Не совсем так, стоит вести свою базу с любым именем в корне uVS, а в SHA складировать все чужие базы, в т.ч. и мою main, что полностью избавляет от необходимости что-либо импортировать.

в принципе, любой из вариантов устраивает:

и ведение своей мастер базы + импорт хэшей разработчика

и ведение своей мастер базы + складирование в SHA R/O доверенных баз.

второй вариант, конечно, гибче.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Кстати сегодня полечил удаленно свеженький мод, щас только его Касперский добавил Trojan.Win32.Zapchast.ewz традиционным методом лечить не стоит, синий экран, как и в AVZ, а вот легко проходит безопасная виртуализация с удалением лишь ссылок и актуализацией, затем вторым скриптом подбирается тушка и все, все-таки не зря делал "виртуализацию", пригодилось самому :)

кстати, да. метод работает. :).

еще если безопасный режим недоступен (нет возможности выполнить скрипт c командами addsgn&chklst&delvir в Safe mode), проходит безопасная виртуализация, удаление ссылок (delref - значит не исчерпала свои возможности команда с адресным удалением ссылок :)) и актуализация.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

demkd

как то подчищал битую вирусами машину, и почему то неправильно отработала команда ALT+DEL

а именно действия как бы происходили по обычному сценарию только ни чего не удалялось о чем честно было написано удалено 0 и тд

команды по отдельности отработали как положено

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
команды по отдельности отработали как положено

проверю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • Gregoryjed
      Online casino slots are a popular pastime for many people - but with so much to choose from and learn, it can be tricky to find the best ones! Luckily, this article has all of the answers you need to find your next favorite game. With the recent release of a new craze known as "auctioning," many resorts have begun to create games that incorporate this concept. The game's rules can be explained in just the amount of time it takes to play one round. However, there are some who would argue that these games can actually make your gambling habits worse - since you don't have to learn anything, you're at a disadvantage because you're playing "blind."

      How to Win At Slot Machines

      You're not going to win at slots, but the more you play, the better your chances. One great way to win at slot machines is to play with a bonus code. One bonus code will usually give the player 10 free spins up to a certain amount or 20% extra payout after each spin. Slot machines are booming with popularity. Why? Slots have an instant jackpot, and there's always a chance for someone to win BIG! There are some simple steps to follow if you want to be successful at slots. There are many different reasons why people enjoy playing online slots, but there are some basic principles behind winning at slot machines. Here are the most important tips that will help you win at online slots:

      What are the Basic Ways to Play casino slots?

      There are a lot of different games to play at an online casino. One you might want to try is the slots, which is where the most money is won in slot machines across the world. Online casino slots vary depending on where you are playing and what games they have available. Some casinos specialize in just one game while others have many different options to choose from. There are a variety of ways that you can play casino slots. Some of these include the "Wheel of Fortune" and "Lucky Ladys Charm." Playing these games is probably one of the easiest ways to understand how the game works. If you are more interested in playing games with higher odds, then try playing video poker or blackjack.

      Which online casinos Offer Welcome Bonuses?

      Casinos that offer welcome bonuses to new players typically also have a number of other sign-up incentives, including free spins, cash back, and match deposits. These promotions can help to entice players away from their competitors and give them the best possible chance at winning big. There are various online casinos that offer welcome bonuses. These include 100% bonus, free chips, no deposit bonus, and match bonus. However, bonuses vary from casino to casino. It is important to choose a casino because of their terms and conditions. online casinos offer welcome bonuses to encourage new players to join. These welcome bonuses typically consist of a percentage of the first deposit that is given back to the player, usually in the form of free slots and/or free cash. Some online casino welcome bonuses also include an additional bonus on top of that, such as a coupon code or match bonus.

      Best Casino Sites in the UK

      The biggest mistake that players make is not doing sufficient research on the best casino sites in the UK. It's important to find a reliable and affordable site, such as Casino Rama, so that you can enjoy your time playing at one. Online casino slots are a great way to try and win big while doing something you enjoy. There are plenty of UK casinos that offer slots so it can be a daunting task trying to find the right one. The following websites offer the best casinos with the best games, bonuses and more: So you want to win at online casino slots? Rather than getting in over your head, it's best to start small - with the UK's best casinos. These sites have a great selection of games and are some of the most trusted around.

      Best online casinos in the UK

      As online casinos have become more popular, so have the rules and guidelines surrounding their game selection. One thing you should know is that the best online casino games are those that can produce a lot of revenue for your business. The UK has a handful of the top online casinos that offer slots, roulette, and other games. These include jackpotbetonline.com, jackpotbetgame.com, jackpotcasinotips.com and more to come soon as they continue to grow in popularity as an alternative to brick-and-mortar casinos. UK online casinos offer players a variety of different games with huge jackpots to be won. Different online casinos offer different types of payouts, such as the amount you will get from playing slots, or how much your deposit will pay out. It's important to know what each casino offers in order to find one that better suits your needs.

      Why Is casino slots so Addictive?

      casino slots have the potential to be highly addictive. This is because of the random nature of slot games and how the outcome of each round is different. The specific combination of symbols in each game can make a player feel as if they are always winning, which leads to them considering it a fun activity. They'll also spend more money on slot machines in order to keep this feeling going, which can lead to gambling problems and spending too much money. Many people love the thrill of playing slots. Some people enjoy slot machines because they are easy to understand and can feel in control. There are a few ways to determine why slots are so addictive and some suggestions on how to avoid it.

      Conclusion

      In conclusion, it is important to realize that playing slots online is not the same as playing slots in a land-based casino. One of the most important rules to remember when playing at a land-based casino is to never play for more than what you can afford, but online slots are not always so easy.
    • Joshua3233Chids
      This is my first time come here
      https://gto5767.com/home.php?mod=space&uid=1902793
      http://www.atlasroleplay.com/forum/profile/koreanneck14
      https://spinalhub.win/wiki/H124pc_Wholesale_Clear_Acrylic_Crystal_Stud_Earring_Field_Show_Jewelry_Reward_Binsh1
      http://quanboo.com/home.php?mod=space&uid=53013
      http://idea.informer.com/users/cobwebplier5/?what=personal

      I am very happy to cme here I am very happy to cme here I am very happy to cme here I am very happy to cme here I am very happy to cme here 8287d12
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.0.23.
    • Thomaspaymn
      Hello there, I'm completely new here, I am not sure in the event this section is a right place to create this and also sorry with this, but I was hoping a person here on anti-malware.ru would be able to assist me.
      I am just wondering anybody knows just about any trusted company for signals for crypto. Is this website good and anyone worked with them ?
      binance futures signals
      Also please introduce any good and comprehensive blog for more inormation about this kind of services. We appreciate it.
×