Universal Virus Sniffer (uVS), Вопросы разработчику

[Smit 29]

Файл есть в том то и проблема, в данном случае баннер из под WindowsPE (папка WINDOWS выбрана)

При полном удалении и ссылок на файл, не помогает, хотя uVS видит, что он есть но его нет

Если бы его не было он бы не появлялся при загрузке Windows

был похожий случай...

смысл в том что эта гадость восстанавливается через модифицированный запуск проводника (99%)

почему то найти достойный твик мне не удалось пришлось воспользоваться AVZ , нашел запуск эксплорера (при этом процесс выглядел как "зеленый" но с ключиками )и нажал "восстановить по умолчанию"

есть и другой способ :

загрузить виндовс по F8 и выбрать загрузку без проводника, после загрузки системы , можете загрузить проводник или тотал и разбираться в живую с гадостью

есть вопросик: когда удаляли в первый раз... был ли там в месте с удаляемыми файлами "левый" батник ,возможно одноименный с баннером?

после удаления он не появляется (очень хотелось бы посмотреть на это чудо)

[Vitokhv 0]

Кстати вот видео этого испытания...

Тупиковая ситуация.. так и не понял, что делали не так...

http://hotfile.com/dl/113166646/102c3e0/Video034.zip.html

[Smit 29]

Кстати вот видео этого испытания...

Тупиковая ситуация.. так и не понял, что делали не так...

http://hotfile.com/dl/113166646/102c3e0/Video034.zip.html

весело !!!

качество супер поганое!, но даже на нем видно что вы пытались удалить фалы с диска "D" то есть вашу winPE, а система на диске "Е"

и программу можно было скачать последнюю 3.51(желательно с базами), а не 3.46

а также почитайте инструкцию по внимательнее!

[Vitokhv 0]

то есть вашу winPE

У WinPE диск X:\

Вы же сами видели, что была выбрана папка WINDOWS диска E:\

Но файл вируса был на диске D:\ где не было ОС.

программу можно было скачать последнюю 3.51(желательно с базами), а не 3.46

Научите скачивать с будущего (на тот момент свежей была 3.46 версия)

[Smit 29]

ясно!

то есть вы так сказать на будущее спрашиваете...

смысл в том что кроме удаления зловредов и чистки мусора , необходимо почистить реестр на предмет удаления ссылок на отсутствующие фалы

тогда они (фалы ) исчезнут из списка , и вряд ли появятся после перезагрузки

[Vitokhv 0]

записал на сд запускаю выбирая start.cmd вылазиет окно как в инструкции выбираю каталог винды и нажимаю запустить под текущим пользователем и все сразу вылетает ошибка SUSTEM чтоли и приписка к ней нехватает системных(вроде) ресурсов

Как быть в таком случае?

[Smit 29]

Как быть в таком случае?

сначала используйте _unlock.inf (по правой кнопке мыши)

а после пробуйте start.cmd, startd.cmd, !startF.cmd

[PR55.RP55 83]

1. Сейчас "Известные" определяются по имени и пути.

Например.

C:\WINDOWS\SYSTEM32\CMD.EXE

Предлагаю добавить дополнительный параметр/критерий.

На основе идеи, что была реализована для блока: snms

2.При создании образа добавлять информацию "Часовой пояс - дата - время"

Это даст возможность техподдержке определить, например приоритет обращения.

* Может ли пользователь подождать с обработкой результата, или же в силу позднего времени

следует дать ответ в сжатые сроки.

** Или распределить пользователей между участниками техподдержки в зависимости какой регион

предпочтительней для каждого из них.

3.Получить для uVS цифровую подпись.

Что значительно улучшит поддержу/работу в Windows 7

Как в плане генерации образа автозапуска так и в плане исполнения скрипта при доступе к

защищённым системным областям.

Для защиты самой uVS можно ограничится наличием цифровой подписи только для 1-го резервного блока.

Который будет инициирован только в случае невозможности выполнить заданную операцию стандартными средсвами.

4.Создать uVS - блок: "Резервное хранилище" В это резервное хранилище ( защищённый - архив ) поместить

группу основных системных файлов - EXPLORER.EXE,CMD.EXE,..

Для работы например с Win.XP.

Ограничить размер архива скажем 4mb.

Обеспечить максимальное сжатие для исполняемых файлов.

Реализовать функцию = скриптовую команду аналогичную sfc / Scannow / Revert

*Это позволит восстановить системный файл в случае заражения всех копий данного файла.

Позволит Восстановить файл в случае отсутствия интернет подключения.

Позволит минимизировать риски связанные с заменой файлов из непроверенных источников.

- В плане авторских прав*.

Распространятся будут не файлы, а защищённый от доступа архив.

- Если, же невозможно и такое, то реализовать саму функцию восстановления - а, файловый архив каждый сможет создать

для себя сам - поместив в него необходимые объекты.

- Это особенно актуально для машин без CD/DVD привода.

5.Добавить в uVS Команду на дублирование отрытого окна - при работе с образом.

"Горячие клавиши"

6.Ввести раздел: "Текущая рекомендация"

Рекомендации даются перед закрытием основного окна - до открытия окна скриптовых команд.

По сумме скриптовых команд и по стандартному анализу лога.

Например: Рекомендуется - Запустить службу* - Заменить файл* - Был заражён EXPLORER.EXE - вероятно вы забыли

сбросить значение ключ.

В temp - Обнаружены исполняемые файлы...

7.Самозащита uVS!

Доработать.

Защитить Основное окно от его смещения относительно курсора мыши.

Так например некоторые программы могут фиксировать положение курсора на экране монитора и автоматически

смещать окно в сектор - Х. относительно любого открытого окна.

Выражается это в том, что затруднено или невозможно использование программного меню.

[demkd 636]

Кстати вот видео этого испытания...

Тупиковая ситуация.. так и не понял, что делали не так...

В общем все делали не так, если в списке подозрительных есть файл то надо разобраться с этим файлом, т.е. как минимум зайти в окно информации о файле, посмтореть почему файл подозрительный.

Особенно это касается как бы известных cmd и т.п.

Второй момент - просто удалять очевидный троян, не разумно, правильней будет добавить его сигнатуру в базу и вдавить F7, после чего просмотреть что будет найдено и прибить это кнопкой убить все вирусы.

И третья основная ошибка, не все трояны демаскируют себя, многие имеют вполне нормальные имена, лежать где лежать честный программы поэтому они не попадают в список подозрительных.

В этому случае есть база проверенных и проверка цифровых подписей, есть фильтр по дате (обычно используется если известна дата заражения), есть скрытие известных все это сужает список подозреваемых до единичных файлов, которые легко можно проверить на VT или просто на глазок прибить за бесполезностью.

Как быть в таком случае?

Это означает что мало оперативки на машине, почитайте FAQ там есть раздел о требуемом оперативки и используемой версии WinPE.

Например.

C:\WINDOWS\SYSTEM32\CMD.EXE

Предлагаю добавить дополнительный параметр/критерий.

Тут подробнее.

2.При создании образа добавлять информацию "Часовой пояс - дата - время"

Правильней будет добавить в лог время в Зулу на момен запуска пояс же не дает значимой информации.

3.Получить для uVS цифровую подпись.

Дорогое это удовольствие, меня жаба конкретно задушит.

4.Создать uVS - блок: "Резервное хранилище" В это резервное хранилище ( защищённый - архив ) поместить

группу основных системных файлов - EXPLORER.EXE,CMD.EXE,..

Давно есть функция восстановления из хранилища/дистрибутива, а хранилище каждый может сделать себе самостоятельно под любую систему. А sfc можно и так exec-ом выполнить с любыми параметрами.

5.Добавить в uVS Команду на дублирование отрытого окна - при работе с образом.

Зачем?

6.Ввести раздел: "Текущая рекомендация"

Не, uVS не дает рекомендаций, он лишь молча исполняет и это хорошо!

7.Самозащита uVS!

Это трата времени, надежную самозащиту не реализовать без вбивания драйвера в ядро, а uVS отличается тем, что в ядро он лезть никогда не будет. Если напрягает какой-то софт то запускать следует startf.exe он быстро наведет порядок.

[Vitokhv 0]

Второй момент - просто удалять очевидный троян, не разумно, правильней будет добавить его сигнатуру в базу и вдавить F7, после чего просмотреть что будет найдено и прибить это кнопкой убить все вирусы.

Спасибо! очень полезно

Как это можно осуществить скриптом?

Можно ли сделать флаги "Скрыть проверенные" и "Скрыть известные" по умолчанию включенными? (например в следующей версии программы)

Для специалистов не составит труда их убрать, а для простого пользователя это потеря системных и программных файлов.

Есть ли горячие клавиши для кнопки "Убить все вирусы" ?

И еще такой вопрос, каким образом автоматически "Импортировать базу хэшей проверенных файлов.." и базу вирусных сигнатур.." для WinPE

[demkd 636]

Спасибо! очень полезно smile.gif

Как это можно осуществить скриптом?

При работе с образом скрипт сделается сам по действиям хелпера, а если ручками то есть файле в доке посвященный скриптам, там все команды описаны.

Можно ли сделать флаги "Скрыть проверенные" и "Скрыть известные" по умолчанию включенными? (например в следующей версии программы)

Для специалистов не составит труда их убрать, а для простого пользователя это потеря системных и программных файлов.

Проверенные - это совершенно бесполезно, поскольку нужна 10 метровая база и нажатие F4 иначе эффекта не будет, некотрые вирусы модифицируют известные файлы, некоторые трояны используют их в своих целях, да и при попытке удаления известных выдается предупреждение, поэтому флаги всегда отключены.

Есть ли горячие клавиши для кнопки "Убить все вирусы" ?

Нет, это серьезная кнопка случайное нажатие тут ни к чему.

И еще такой вопрос, каким образом автоматически "Импортировать базу хэшей проверенных файлов.." и базу вирусных сигнатур.." для WinPE

А зачем импортировать, почему бы просто не положить?

Да и не стоит записывать uVS на диск, разумней использовать загрузочную флеху, а когда это невозможно просто записать uVS актуальной версии на флеху, добавить все нужные базы и все, воткнуть ее и загружаться с диска, флеха будет доступна.

Сразу отпадает необходимость в сотый раз переделывать образ при выходе новой версии и пополнении баз.

[santy 153]

предложение: старые и новые.

1. автоматически добавлять (сохранять в settings) IP-адрес последнего удаленного сеанса;

2. по списку сигнатур добавить контекстную опцию - переименовать сигнатуру (для наведения порядка в базе);

3. добавить возможность использования_запуска из uVS консольного сканера (если есть в системе)

например, запуск консольного сканера ESET NOD32 с проверкой каталога

c:\program files\eset\ESET NOD32 Antivirus\ecls.exe /aind /no-subdir /ext=exe:vexe /clean-mode=delete /quarantine c:\windows

ИСпользуем режим Настройка - выбрать консольный сканер.

добавляет параметр в settings консольный сканер по умолчанию.

scan_def=c:\program files\eset\ESET NOD32 Antivirus\ecls.exe

возможно ли тогда запустить его через макроопределение?,

например так:

EXEC &scan_def /aind /no-subdir /ext=exe:vexe /clean-mode=delete /quarantine c:\windows

плюс добавить результат сканирования в окно uVS

4. добавить в настройки флаг: файлы (со статусом ?вирус?), попавшие в список подозрительных на основании базы поисковых критериев (но без детекта по сигнатурам) автоматически проверять на Вирустотал при выполнении действия "проверить список" (исключить повторную проверку записей со статусом ?вирус?, по которым уже была выполнена проверка на ВТ).

5. restart должен быть последней командой скрипта, если в скрипт добавлен restart, все последующие команды должны добавляться в скрипт перед restart.

6. дополнительно к статусу записи ввести механизм вычисления рейтинга записи. (1-10),

например:

--- 01 хэш в базе безопасных_проверенных, цифровая подпись действительна

--- 02 хэш в базе безопасных, или цифровая подпись действительна

--- 03

--- 04

--- 05 подозрительный, не прошел проверку по базе безопасных_проверенных (sha1), содержится в списке известных (km*), цифровая подпись отсутствует или не проверена.

--- 06 подозрительный, не прошел проверку по базе безопасных_проверенных (sha1), не содержится в списке известных (km*), цифровая подпись отсутствует, или не проверена.

--- 07 подозрительный, не прошел проверку по базе безопасных_проверенных (sha1), не содержится в списке известных (km*), цифровая подпись отсутствует или не проверена, без заполненного производителя.

--- 08 подозрительные, детектируется по поисковым критериям (без детекта по VT)

--- 09 подозрительные, детектируется значимыми антивирусами на VT (детект по поисковым критериям не важен)

--- 10. подозрительные, детектируется по сигнатурам (остальные детекты уже неважны)

добавить фильтрацию записей по рейтингу (список рейтингов должен содержать его краткую расшифровку).

[Vitokhv 0]

Тут беда у нас.. удалили файл подозрительного файла, а его вредоносный код не вбили в сигнатуры.

Он есть в папке ZOO и хэш его тоже имеется, но как его добавить в сигнатуры? Чтобы при нажатии F7 появились файлы которые он заразил.

Вот видео, но на нем в сигнатуры файл добавлен:

Смотреть в HD качестве 720p на полный экран.

http://www.youtube.com/watch?v=AfNoiqPeMv0

[santy 153]

Чего-то скачать программу не смог...

мож прямой ссылкой кто поможет?

если сайт автора временно недоступен, можно скачать копии uVS с зеркал хелперов, которые используют uVS, например - отсюда

http://rghost.ru/users/santy/releases/utilitiesLiveCd

но здесь нет базы безопасных sha1 от разработчика uVS, которую желательно использовать при лечении зараженных систем с помощью uVS.

Он есть в папке ZOO и хэш его тоже имеется, но как его добавить в сигнатуры? Чтобы при нажатии F7 появились файлы которые он заразил.

используйте кнопку - "добавить в базу" файл, который у вас в ZOO, хотя не факт, что по этой сигнатуре будут найдены другие файлы зараженные вирусом. Лучше уж отправить файл в вирлаб, и ждать добавления в антивирусные базы, тем более, если это вирус, значит необходима процедура лечения а не удаления.

[Vitokhv 0]

необходима процедура лечения а не удаления

Вирус, однозначно. Заражает файл userinit.exe и просто напросто не дает загрузиться ОС. Возвращает к выбору пользователя.

http://forum.drweb.com/index.php?showtopic=301481

Нужно придумать FIX для восстановления системных файлов если так и дальше пойдет..

Набросок есть но он только для Windows XP

[santy 153]

Вирус, однозначно. Заражает файл userinit.exe и просто напросто не дает загрузиться ОС. Возвращает к выбору пользователя.

...

Нужно придумать FIX для восстановления системных файлов если так и дальше пойдет..

Набросок есть но он только для Windows XP

скорее всего не заражает, а подменяет файлы.

фикс здесь простой - восстановить системные файлы, плюс восстановить правильные параметры в реестре.

исходные инструменты Live.CD &uVS(или загрузочная флэшка с uVS) + чистые файлы userinit.exe, explorer.exe, taskmgr.exe которые можно записать на флэшку.

команда для замены файлов - COPY.

COPY file1 file2. COPY, как и любую другую внутреннюю команду можно выполнить в контексте uVS. Есть для этого специальная команда.

EXEC.

[demkd 636]

2. по списку сигнатур добавить контекстную опцию

А чем даблклик не нравится?

3. добавить возможность использования_запуска из uVS консольного сканера (если есть в системе)

Над этим я когда-нибудь подумаю.

4. добавить в настройки флаг: файлы (со статусом ?вирус?), попавшие в список подозрительных на основании базы

Эта идея мне не очень нравится, хотя если только опционально...

6. дополнительно к статусу записи ввести механизм вычисления рейтинга записи. (1-10),

например:

А вот эта идея отклоняется, рейтинги или уровень опасности - это наследие темных веков, никакой полезной инорфмации оно не несет, лишь снижает качество проверки и в итоге увеличивает время необходимое для лечений. В окне информации о файле есть кнопка "Проверен", рекомендую использовать ее.

Нужно придумать FIX для восстановления системных файлов если так и дальше пойдет..

Набросок есть но он только для Windows XP

При работе с образом в контекстном меню файла доступно восстановление файла с помощью SFC (Vista и старше), при работе с (не)активной системой для 2k-7 доступно восстановеление из хранилища (файлы навалом) или дистрибутива 2k/XP/2k3.

[santy 153]

А чем даблклик не нравится?

нормально, не знал об этом. А sha1 файла с которого снята сигнатура не хранится в базе?

(приходится признать, что база достаточно быстро устаревает поскольку антивирусные компании следом выпускают сигнатуры - актуальны часто только свежие записи, т.е. uVS оправдывает свою философию - как инструмент борьбы с неизвестной заразой.)

[Smit 29]

нормально, не знал об этом. А sha1 файла с которого снята сигнатура не хранится в базе?

(приходится признать, что база достаточно быстро устаревает поскольку антивирусные компании следом выпускают сигнатуры - актуальны часто только свежие записи, т.е. uVS оправдывает свою философию - как инструмент борьбы с неизвестной заразой.)

раньше вообще баз не было и программа справлялась со своей задачей ! от суда мораль : базы нужны для удобства (автоматизации) процесса ловли всякой заразы и не отвлекаться на мелочах ..

[santy 153]

раньше вообще баз не было и программа справлялась со своей задачей ! от суда мораль : базы нужны для удобства (автоматизации) процесса ловли всякой заразы и не отвлекаться на мелочах ..

Все зависит от того, сколько времени дается на излечение системы. Где-то в июле-августе на форуме Есета был наплыв юзеров с заражением системы: 4-5 посетителей в час. Часто сигнатуры полученные из образа одного посетителя автоматически находили вредоносные программы в других системах. Поэтому введение сигнатур оправдано. Автоматизация написания скриптов значительно ускорила процесс излечения системы. Особенно при работе с образами.

[demkd 636]

А sha1 файла с которого снята сигнатура не хранится в базе?

Смысла нет, сигнатура надежней, ибо ловятся моды.

приходится признать, что база достаточно быстро устаревает

База полезна именно как оперативная или при массовом лечении, а потом ее можно убивать за бесполезностью.

[art 0]

как такая мысль:

если найден подозрительный объект, то автоматически снимается сигнатура и анализируется весь автозапуск на наличие сходного файла.

Например, найден файл, который грузится файл c:\123.exe через запятую после userinit.exe (Ваша программа посчитает его подозрительным), с него снимается сигнатура и производится поиск файлов с такой сигнатурой во всем автозапуске - возможно этот файл под другим именем из другой папки грузится через обычную автозагрузку.

И еще вопрос, например, блокиратор записался вместо файла C:\WINDOWS\system32\userinit.exe - я добавляю его сигнатуру в базу вирусов - будет ли удалена данная запись в Winlogon? Ведь при "убить все вирусы", то удаляются все найденные файлы с этой сигнатурой и удаляются записи в реестре - если вирус поразил системный файл, то будет ли убита законная запись в реестре на этот файл?

[demkd 636]

если найден подозрительный объект, то автоматически снимается сигнатура и анализируется весь автозапуск на наличие сходного файла.

Это приведет лишь к бесполезной потере времени, далеко не все что подозрительно на первый взгляд стоит вносить в базу и тем более удалять.

Ведь при "убить все вирусы", то удаляются все найденные файлы с этой сигнатурой и удаляются записи в реестре - если вирус поразил системный файл, то будет ли убита законная запись в реестре на этот файл?

В данном случае файл будет удален и в реестре будет прописан полный путь до userinit, после чего можно будет восстановить файл или с помощью SFC (Vista и старше) или из дистрибутива, обе операции доступны в контекстном меню файла.

[santy 153]

пара критериев которые фокусируют записи из списка подозрительных на ?ВИРУС?

ССЫЛКА: HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\USERINIT

ССЫЛКА: SERVICES\MKDRV

[art 0]

благодарю за ответы.

еще появился такой вопрос:

можно ли сделать так, чтобы при нажатии кнопки "проверить все непроверенные на вирустотал" не отображались в логе чистые файлы?

или чтобы файлы с детектов выделялись красным цветом,

а то такой большой поток данных.... рябит