Перейти к содержанию

Recommended Posts

akoK

Мне не совсем понятна строка при очистке мусора в системе

Удаление исполняемых файлов из каталога: C:\WINDOWS\FONTS

Какой там мусор может быть? Эту функцию нужно перенести в отдельный твик или функцию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Что такое "стандартный виндовый загрузчик"? Как минимум для той же Vista+ таких комбинаций есть несколько (IPL + Extended IPL). Восстановление только одной из частей просто убьет ОС.

Стандартный - тот который самостоятельно прописывает соотв. система при установки с нуля на чистый раздел.

Насчет не загризится я проверю на 7-ке и висле, но пока я тестировал не было выявлено проблем с загрузкой 32-х битных систем при перезаписи одного лишь IPL, проверю и для 64-х битных систем. Можно для интереса и проверить и для основных активаторов к чему приведет перезапись только IPL, сдается мне что только к потере активации.

Еще раз - нельзя отделять код IPL (0 сектор) и Extended IPL (1+ сектора) - это единый блок кода со ссылками друг на друга. Поэтому разделение команд необходимо убрать совсем.

Есть подтверждение этому факту, хотя бы для стандартных виндузовых загрузчиков? Мне просто не начем щас самому дизассемблировать, чтоб убедиться в данном утверждении или опровергнуть его... увы, в моей основной машине не хватает мат. платы и процессора и хз сколько еще это продлитcя. :( Однако способ передачи управления на код в IPL в листингах что я помню, _косвенно говорит о том что это два независимых кода, разве что BPB может использоваться, но это ни разу не "связь".

Какой там мусор может быть? Эту функцию нужно перенести в отдельный твик или функцию.

Исполняемые файлы. Функция очистки от мусора разделена на 2 части, первая тотально все уничтожает, вторая уничтожает только исполняемые файлы, в FONTS исполняемых файлов быть НЕ должно. Поэтому нет необходимости в разделении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Есть подтверждение этому факту, хотя бы для стандартных виндузовых загрузчиков?

Достаточно лишь взглянуть на код загрузчика той же Win 7 RTM.

Скриншот приложен, на нем - функция-оболочка для чтения диска (расположена в IPL), и ее вызовы - как из IPL, так и из Extended IPL.

IPL.png

post-5690-1309939904_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK
FONTS исполняемых файлов быть НЕ должно

Если они там есть, то это ни разу не мусор. ;)

По опыту в FONTS если и сидят исполняемые файлы - то только зловреды. Тогда это не чистка мусора, а лечение. И стоит оформить отдельным пунктом: карантин и удаление исполняемых файлов в FONTS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Скриншот приложен

Хм... функция чтения секторов, принимается, потом еще сам посмотрю. В релизе 3.67 сделаю грыжик в окне записи загрузчика и будет по дефолту для NTFS переписывать все 16 секторов одной кнопкой или одной скриптовой командой, однако и раздельную запись убирать не буду, лишним мне кажется оно таки не будет. :)

Тогда это не чистка мусора, а лечение.

Нет, вирус не прописанный в автозагрузке есть просто мусор. Если же он прописан то и лечение будет другим.

При запуске из под PE версия 3.67 пытается анализировать c:\windows вместо выбранной системы.

А имя диска F не транслировалось, нет ифнормации о том что он в системе был C

а обработка файлов не имеющих пути идет на основании перменной PATH в реестре.

Соотв. и получается C.

Да и мало того например вот запись из реестра проверяемой системы:

HKLM\uvs_system\ControlSet001\Services\ASP.NET\Performance\Library

c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_perf.dll

А транслировать имя в F оснований у uVS просто нет.

Вот например %SystemRoot%\System32\cryptsvc.dll будет транслировано правильно поскольку в прямую указано %SystemRoot%

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Если это (в том числе и увеличение длины наименования) не нарушает структуру файла сигнатур... имхо, если и задумывать изменение структуры базы sqnz, то основательное, продуманное и обоснованное.

Возможно его и нет необходимости менять?

Просто вся информация вводимая в окно с примечанием/заметкой по зловреду Сохраняется/пишется в отдельный файл !?

Разве что нет отмены для одиночного файла по MD5

Вероятно стоит сделать.

* Кроме того, основное отличие моего предложения в том, что чётко = визуально в реестре/Образе uVS можно видеть что и где заблокировано.

И заблокировано ли вообще...

И копаться с MD5 ненужно.

Это уже другой поход получается - другая - поэтапная концепция.

Кроме того MD5 блокировка может по ряду причин и не сработать так как должно...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
однако и раздельную запись убирать не буду, лишним мне кажется оно таки не будет. :)

Предлагаю развить технологию для всего uVS - удалять файл не целиком, а половину отрезать. Ключи реестра модифицировать тоже наполовину. И MBR тоже. Даже можно ползунок сделать - восстановить 20%, а 80% не трогать. А что - лишним не будет :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Просто вся информация вводимая в окно с примечанием/заметкой по зловреду Сохраняется/пишется в отдельный файл

Это извращение.

Вероятно стоит сделать.

Пожалуй.

Юрий Паршин

Одна команда fixipl лечит Boot.Cidox просто и без проблем, мало того uVS НЕ предназначен для идиотов, поэтому тот кто за рулем сам решит стоит ли ему переписать VBR+IPL _даже_ если загрузчик в VBR успешно прошел проверку по базе или ограничиться лишь перезаписью не прошедшего проверку IPL.

Зачем выкидывать то что _уже написано и _уже работает, если оно никак не вредит процессу? Кто захочет тот будет использовать возможность раздельной перезаписи кто не захочет тот будет переписывать целиком.

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Юрий Паршин

Зачем выкидывать то что _уже написано и _уже работает, если оно никак не вредит процессу?

Одна команда "fixipl" убивает свежеустановленную немодифицированную ОС. Все понятно, вопросов больше нет.

Предлагаю переименовать утилиту в Universal Windows Killer.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Одна команда "fixipl" убивает свежеустановленную немодифицированную ОС. Все понятно, вопросов больше нет.

Увы убить немодифицированную никак не получится, ибо используется как раз стандартный виндузовый IPL, нет... конечно если версии перепутать то легко :D

Предлагаю переименовать утилиту в Universal Windows Killer.

Я подумаю, мне нравится как звучит. -_-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Увы убить немодифицированную никак не получится, ибо используется как раз стандартный виндузовый IPL.

Тогда дополняю, раз это неясно прозвучало - fixipl убивает свежеустановленную Vista или 2008 Server (у меня под рукой такие виртуалки). У них другой загрузочный сектор (отличный от ipl6) с другим расположением блоков кода.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
fixipl убивает свежеустановленную Vista

Вот это ближе к правде, висту я таки поленился проверять, кстати как 64-х битный xp. В любом случае спасибо за ценное замечание.

Как машинка вернется посмотрю чем там в висле отличается загрузчик если все так то повешу предупреждение на перезапись ipl. В любом случае до релиза v3.67 как до Китая пешком, много чего может измениться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Одна команда "fixipl" убивает свежеустановленную немодифицированную ОС. Все понятно, вопросов больше нет.

Предлагаю переименовать утилиту в Universal Windows Killer.

за всю историю применений uVS на техническом форуме в течение свыше года не было ни одного "нецеленаправленного убийства" системы, так что все таки uVS заметно отличается от прочих утилит с префиксом killer.

Цитата(PR55.RP55 @ 06.07.2011, 20:32) *

Вероятно стоит сделать.

Пожалуй.

Может тогда стоит выводить в лог инфо о блокировке объекта через MD5, и по контекстной функции из лога снимать блокировку отдельного объекта?

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Может тогда стоит выводить в лог инфо о блокировке объекта через MD5, и по контекстной функции из лога снимать блокировку отдельного объекта?

Можно, но чисто по MD5... а не трудновато будет? Может проще добавить функцию в контекстное меню конкретного файла?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Можно, но чисто по MD5... а не трудновато будет? Может проще добавить функцию в контекстное меню конкретного файла?

да, так лучше... не надо будет вычислять MD5 постоянно и сверять нет ли подобной записи в реестре. Вообще говоря, бывает, т.ч. рука тянется отключить что-то в автозапуске :), не удаляя файл, и не зачищая ссылок в реестре.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Не надо будет вычислять MD5

;)

http://www.linuxliveusb.com/

Free: Программки для расчёта:

CRC32;MD5;SHA1

*Расчётные данные помещаются в буфер обмена.

Портативные программы можно найти по дефолтному адресу:

C:\Program Files\LinuxLive USB Creator\bonus

LiLi's CRC32 Easy Hasher.exe

LiLi's MD5 Easy Hasher.exe

LiLi's SHA1 Easy Hasher.exe

*В режиме Live CD могут не работать.

*Дополнительно: http://forum.esetnod32.ru/forum8/topic2096/

  • Upvote 5
  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107
Программу пишу для себя и поскольку я не любитель изобретения велосипедов, соотв. и функционал/эргономика и представление/фильтрация информации кардинально отличается от программ предназначеных для сходных целей. Если кто знаком с моим софтом поймет о чем я

для желающих модифицировать uVS.

Все в ней подобранно нормально! а насчёт удаление всего файла или частичного (если имеется ввиду его излечение) то былобы здорово.

А Самое главное недавно лечил знакомым ПК. куреит ненашел, Касперский. Запустил uVS с USB-флешки (повезло зверь был несильно злой флешку неубил!) нашел процесс в автозапуске с интересным неймом = GuardGuard успешно удалил через перезагрузку. Огромное спасибо автору uVS. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
GuardGuard

Обычно это процесс прожденный mail.ru guard-ом. Незловредный конечно, но и пользы от него никакой.

По IPL:

Удалось таки починить рабочую машинку, соотв. просмотрев коды загрузчиков NT5.x/6.x сделал вывод о том что раздельная запись VBR и IPL ошибочна для _стандартных_ NT6.x загрузчиков. Соответственно команда fixipl будет удалена из релиза, а fixvbr всегда будет перезаписывать и то и другое, а раздельное представление в списке возможно останется в чисто информативных целях. Дополнительно возможна есть еще и _потенциальная проблема с GPT, придется пока запретить работу с физическими дисками объемом >2TB до тех пор пока мне в руки не попадет 3TB винт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

лечил машину последняя версия программы , в прочим как и антивирь ни чего не нашли !

uvs ругался на нестандартный загрузчик на все три раздела (хотя активный только 1, разумеется)

восстановление которого ни к чему не привело , автозагрузка чистая как слеза младенца ни каких левых процессов

темпы чистые, в живую с диска загрузка не происходит, запустить uvs на зараженной системе так и не удалось

в режиме от сбоев выдает ошибку при запуске 299 без каких либо описаний

восстановление из под ПЕ с помощью твиков ни привели ни к какому результату

но точно вирус очень грамотный !

при загрузке системы постепенно отрубает все подходы сначала дает запуск исполняемых файлов потом они зависают , потом перестает их запускать с разными ошибками "это не вин 32" , "недостаточно ресурсов" , "виндовс не знает к какому типу файлов это относиться" ,закрывает доступ к открытию папок , меняет и удаляет пункты контекстного меню , до полного ступора системы

из под защищенного режима почти тоже самое (два часа борьбы с этим монстром ни привели ни к какому результату вообще, пришлось переустановить что в последнее время для меня стало огромной редкостью)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Smit

Надо было sfc /scannow для начала, может просто запороты системные файлы были из-за кривого железа, кроме зловредов бывает дохлая память, разгон, самопроизвольные ремапы на подыхающем винте из-за включенного S.M.A.R.T. и т.д. т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

с железом там все в порядке, проверял (переустановка это дополнительно доказала ) а выполнение каких либо команд на живой системе блокировалось в плоть до отключения команды выполнить и удаление этого пункта до следующей перезагрузки

вообще такое надо на видео записывать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107
Обычно это процесс прожденный mail.ru guard-ом. Незловредный конечно, но и пользы от него никакой.

Да я просто неуточнил после удаления того процесса перестовало происходить заражение USB-Флешек.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

v3.67

Я учел некоторые пожелания, исправил по мелочам и добавил возможность включить поддержку AHCI - это не_лечебная фича, но довольно часто требуется, надоело уже руками включать.

База проверенных обновлена.

Финальный список исправлений:

o Добавлена поддержка сохранения и проверки кода загрузчика в VBR (бутсектор).

Поддерживается FAT12/FAT16/FAT32/NTFS/exFAT.

(!) Для FAT16/exFAT сохраняется код из бутсектора.

(!) Для FAT32 сохраняется код из бутсектора (420 байт + маркер + оставшийся код из 12-го _или_ 2-го сектора)

(!) Для NTFS сохраняется код из бутсектора без IPL в оставшихся 15 секторах.

Функция доступна в любом режиме.

o Добавлена поддержка сохранения и проверки кода NTFS IPL. (15 секторов за бутсектором NTFS)

Функция доступна в любом режиме.

o Добавлена возможность перезаписи загрузчика VBR (+IPL для NTFS).

(меню "Руткиты")

o Добавлена скриптовая команда fixvbr.

Пример: fixvbr c: 6

где с - имя загрузочного диска,

6 - весрия загрузчика (6 - Vista/Seven, 5 - 2k/xp/2k3)

Стандартные загрузчики лежат в файлах ipl5, ipl6, fat5, fat6, ntf5, ntf6.

Вы можете их заменить на свои копии снятые с помощью uVS, либо можете создать доп. файлы с версиями отличными от 5 и 6.

Команда fixvbr принимает в качестве второго параметра любое _число.

(!) Команда не_доступна при работе с удаленной системой.

o MBR/VBR/IPL загрузчики теперь проверяются по F4 вместе с обычными файлами в т.ч. и при работе с образом.

o Новый пункт в меню "Реестр" -> "[iNTEL] Включить поддержку AHCI..."

Функция доступна для активной и неактивной системы.

(Для XP/2k3 перед использованием см. AHCI.txt).

(!) Функция НЕ тестировалась на Windows 2000, для остальных систем без ограничений.

o Новые параметры в settings.ini

[settings]

; Фильтр по производителю антивируса через запятую.

vFilter (сторка)

Фильтр применяется в функциях массовой проверки файлов.

Результаты проверки антивирусом не попавшим в список учитываться не будут.

Пример: Kaspersky, DrWeb, AntiVir

(!) Для Jotti и VT имена антивирусов могут не совпадать, соотв. нужно

(!) указывать оба варианта.

; Автоматическая подстановка имени вируса при добавлении сигнатуры на основе ранне полученных данных с VT или JT.

vGetName (строка)

В строке можно указать через запятую производителей в порядке приоритета.

Пример: Kaspersky, DrWeb, AntiVir

o Добавлена возможность разблокировать запуск отдельного файла, заблокированного по хэшу.

Функция доступна в контекстном меню файла.

Скриптовая команда "rbl".

o Новая горячая клавиша Alt+M

Переключает режим поиска: по имени или по производителю.

o Разрешено добавление сигнатур из файлов находящихся в локальном Zoo.

(для всех режимов)

o В uVS добавлена базовая поддержка GPT.

Соотв. загрузчики присутствуют в списке под именем MBRGPT#...

o (!) Изменен формат базы вирусов.

Добавлена функция обнаружения повреждений базы.

Добавлено примечание (127 символов) и длина имени увеличена до 39 символов.

База конвертируется автоматически при первом ее изменении.

Импорт поддерживается из обоих форматов.

o (!) Изменен формат файла сверки.

Теперь для сверки сохраняется весь код в MBR+VBR+IPL.

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
v3.67

1. пока нет возможности проверить лечение буткита

2. vFilter, vGetName то, что надо... единственно, может еще сделать переименование существующих уже в списке сигнатур по такому же принципу. через контекстное меню добавить функцию "переименовать сигнатуру" через vGetName чтобы в свободное время привести в порядок базу сигнатур.

3. фильтрующий поиск с переключением (по ALT-M) все, ок, работает.

4. по формату базы - думаю, импорт теперь становится более удобен. (RP55 можно переименоваться в RP55+). :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
      Антивирусы для macOS были обновлены до версии 6.10.700.
    • ForetFR
      CLIMB Hearsay from Earth - https://mebonus.ru
      Google №Wet

      Palestinians scoot as Israel bombards haunts from style, swell and sod!!!

      Google Hearsay

      People in Gaza fled their homes carrying crying children and valued possessions as Israeli forces pounded the vicinage from aura, adrift and land on Friday.
      The escalating controversy triggered furious protests in the occupied West Bank, where seven Palestinians were killed by way of Israeli army fire, and moreover fury between Arabs and Jews in Israel.
      Hamas praised the clashes between stone-throwing youths and Israeli soldiers in the West Bank grevorgАЛИdVhower , m‚tier on Palestinians to “set the ground ablaze under the feet of the rule”.
      Google RUMOUR - Wet
      In a meritorious escalation in the worst bout of fighting between Israel and Hamas looking for seven years, oppressive artillery fire was aimed at what the Israeli military said was a hefty network of fighter tunnels. Dozens of Hamas operatives were killed in the strikes, the Israel Apologia Forces (IDF) said.
      Palestinian protesters burn tyres and throw stones at Israeli forces in the West Bank community of Nablus

      There was gallimaufry overnight after the IDF corrected an earlier communiqu‚ saying that base troops were “currently attacking in the Gaza Strip”. A blemished proclamation clarified that there was no excuse sediment aggression, but artillery and tank vivacity from the border. “Clarification: there are currently no IDF establish troops reversed the Gaza Strip. IDF current and area forces are carrying out strikes on targets in the Gaza Strip,” it said.
      What is the current Israel-Gaza turning-point far and where is it heading?
      Deliver assign to more - GOOD COPY - in cak

      Analysts suggested it was a purposeful ploy intended to onwards elder Hamas figures to split for into a network of hidden tunnels known as “the metro”. Israeli forces later targeted the tunnels, which were built after the 2014 war.
      An IDF asseveration said 160 aircraft had “struck over 150 subterranean targets in the northern Gaza Shed one's clothes” overnight. Israel’s forces destroyed “many kilometres” of the tunnels during the assail, it claimed.
      A multi-storey building casing a bank affiliated with Hamas was destroyed, and weapons opus and naval sites were also smash, it said.

      Palestinians living in areas closed to the Gaza-Israel frieze fled their homes in pickup trucks, on donkeys and on foot. Some went to UN-run schools in Gaza Urban district, carrying small children, household essentials and food.
      Hedaia Maarouf, who left-wing her serene with her extended kinfolk of 19 people, including 13 children, said: “We were terrified instead of our children, who were screaming and shaking.”
      A Palestinian kindred flees their home in Beit Lahya in the northern Gaza Strip?
      In northern Gaza, Rafat Tanani, his having a bun in the oven strife and four children were killed after an Israeli warplane reduced a building to rubble, residents said.
      Bill - Matt Gaetz associate pleads contrite to sexual congress trafficking crimes – US manipulation animate Bouts

      The death chime in Gaza rose to over and above 120, with a dressy increase in the number of people injured in the overnight onslaught, according to the Gaza health ministry. At least 31 children bear been killed.
      Hospitals that were already struggling to wine patients with Covid received an influx of people with shrapnel wounds and other injuries. Some needed amputations. “All I can do is beseech,” said one hospital director.
      The UN said more than 200 homes and 24 schools in Gaza had been destroyed or severely damaged in Israeli bearing raids in the lifestyle five days. It also said residents’ access to inexperienced spa water could be limited because of power cuts and harm to pipe networks.
      Increased power blackouts are expected as nuclear fuel supplies off low. Most families already exclusively have power in regard to four or five hours a daylight, and hospitals are stiff to rely on generators.

      Hamas and other militant groups continued to fusillade rockets into Israel, where example sirens sounded in towns and communities. The Israeli military said it had intercepted at least five drones carrying explosives launched from Gaza since Thursday.
      Read more Scandal - HEARSAY - in Wet

      Statistic Tidings Front-page news
      http://mebonus.ru - Front-page news of Googles
    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
    • akoK
×