Universal Virus Sniffer (uVS), Вопросы разработчику

[demkd 590]

не смог справиться с очередным вирусом

Для создания образа использовалась версия 3.61, но никак не актуальная, соотв. образ уже неполный.

И не удалось отыскать в списке? Или не удалялись файлы, ключи? Происходило выпадение в синий экран, не удалось загрузится с диска? Конкретнее пожалуйста.

также не удалось последней(2.68) версией восстановить работу сети, не работал интернет экплорер и опера , но частично работал фаирфокс система win7x64

Причем тут тогда сеть, раз таки работал ff?

* netsh int ip reset resetlog.txt

Тут надо посмотреть...

* netsh winsock reset

А это пожалуй излишне, uVS и так работает нормально с винсоковскиим каталогом и если что-то удаляется то удаляется с коррекцией каталога.

[Vitokhv 0]

Не могу найти как очистить домашнюю страницу браузера..

MICROSOF_1EF903_2011_08_02_08_01_46.rar

hijackthis.rar

MICROSOF_1EF903_2011_08_02_08_01_46.rar

hijackthis.rar

[demkd 590]

Не могу найти как очистить домашнюю страницу браузера..

Такой функции в uVS нет, но если таки надо то могу добавить в образ и соотв. можно будет их выборочно удалять.

[phantom83 0]

Не могу найти как очистить домашнюю страницу браузера..

судя по логу HijackThis то можно попробовать пофиксить

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru?clid=45933&yasoft=kraski

есть еще странная запись, возможно тоже можно пофиксить

O4 - Startup: Текстовый документ.vbs

[Vitokhv 0]

Спасибо за ответы.

Стартовые страницы браузеров не просто удалить и такая функция была бы полезной. Особенно если это Ask

[Smit 29]

Причем тут тогда сеть, раз таки работал ff?

я писал что частично работал FF (почта не работала и на некоторых сайтах можно было зайти только на главную станицу или на 1 уровень ниже)

к тамуже проверка пинга не происходила хотя вот такой вариант прокатывал: ping 8.8.8.8 -t , причем почта стала работать при включении протокола VP6 (только на VP4 не работало , что есть полный бред)

началось все с win7x64 очень просто: прислали вместо рисунка ярлык на программу сканера VievScan.lnk и человек по незнанию пробовал его открывать всем чем попало в конце концов "открыл" офисом и все значки стали "офисными" ,что еще производилось с семеркой клиент уже помнил с трудом

восстановление ассоциации файлов и прочего привело лишь к работоспособности самого компа но не интернета

для развлечения попробовал "арсенал AVZ " результата ноль! также проверки на прокси и прочие экзотические настройки ни к чему не привели . повторюсь : утилиты макрасофта, запуск без ключей по очереди но с 1 перезагрузкой полностью все восстановили нормальную работу инета

[demkd 590]

Smit

Если б лечил я то для начала снес бы:

DLLFILWINWI.DAT

CLOWNFISH.EXE

и REBUILDI.EXE пожалуй тоже, если бы после рестарта он не исчез из runonce.

впрочем со времени v3.61 заметное число ключей реестра добавилось, много чего могло не попасть в образ.

Что касается работоспособности браузеров, то скажем Cidox иногда так проявляется, но опять же образ устаревший не видно что там с загрузчиками было, моного чего могло быть тот же зловред DLLFILWINWI.DAT внедрялся в explorer, ctfmon, winlogon, вполне мог внедряться и в браузеры соотв. творить что угодно.

[PR55.RP55 82]

Для uVS выделен отдельный подфорум

Честно говоря смысла большого не вижу, как предлагали в этой теме, так судя по всему в ней предлагать и будут.

Только прыгать теперь придётся с одной страницы на другую да вспоминать где и что было написано "Лучшее как враг хорошему"

Стартовые страницы браузеров не просто удалить и такая функция была бы полезной. Особенно если это Ask...

Соглашусь с мнением Vitokhv что стоит сделать очистку начальной страницы и желательно для ВСЕХ основных браузеров.

----------------------------------------------------------------------------------------------------------------------------------------------------

Теперь что касается поисковых критериев:

Я уже писал, что они должны по умолчанию входить в uVS

Хотя бы в виде txt примера.

Зачем снова и снова придумывать велосипед ?

Одно дело когда требуется нестандартный/индивидуальный критерий и совсем другое дело когда у всех Хелперов есть группа идентичных

критериев поиска!

Как пример: OREANS32.SYS; SYSTEM.EXE ;SYSTEM32.EXE ;PROTECT ;SAFE MODE и прочее.

Есть, же универсальные критерии - и они должны быть в uVS по умолчанию.

И не просто, как поисковые критерии, а как эвристический анализатор.

Вот например сейчас если файл exe* находиться в Temp и стоит в автозагрузке - то он автоматом попадает в "Подозрительные и вирусы"

А вот почему исполняемый файл SYSTEM32.EXE* копирующий в своём имени название системного каталога и стоящий в автозагрузке туда НЕ попадает я например не понимаю.

Сколько человек сейчас использует AVZ ?

Это десятки и даже сотни тысяч человек...

Со временем uVS найдёт не меньшее число пользователей.

Сколько в стране Администраторов ?

И что каждый должен сидеть и ломать голову придумывая СТАНДАРТНЫЕ поисковые критерии ?

Крайне сомнительный подход.

[demkd 590]

Честно говоря смысла большого не вижу

Разъясняю: отдельная тема создана специально для учета пожеланий, где каждый (в т.ч. и я) может легко посмотреть что предлагается и что будет реализовано, а не тратить время на просмтор 46 страниц пространных рассуждений.

Поэтому прошу размещать предложения по новому функционалу строго в отведенной для этого теме.

И что каждый должен сидеть и ломать голову придумывая СТАНДАРТНЫЕ поисковые критерии ?

В том-то и дело, что НЕ надо ничего придумывать, достаточно добавлять строго по мере необходимости и это настолько просто, что говорить о каких-то там изобретениях велосипеда или муках творчества смешно.

Или хочется облагодетельствовать простых юзверей? Я не понимаю зачем только она им, если программа не для них предназначена... однако делайте свою базу и выкладывайте в свободный доступ или архивы дистрибутива со своими базами, никто этого не запрещает.

[santy 151]

Честно говоря смысла большого не вижу, как предлагали в этой теме, так судя по всему в ней предлагать и будут.

Только прыгать теперь придётся с одной страницы на другую да вспоминать где и что было написано "Лучшее как враг хорошему"

RP55, мое мнение по этому поводу.

форум программы - это действительно лучшее ее продвижение, и в интересах всех.

Автору программы удобнее следить за предложениями, если они пишутся в специальном разделе,

а так же возможность по своему усмотрению зачищать важные темы от просто разговоров.

Пользвателям программы так же удобнее будет видеть какие идеи и новые предложения одобрены автором и внесены в план разработки, чтобы не изобретать по новой колесо, и не наступать на старые грабли.

Читать же 45, 46 страниц для тех, кто только начинает изучать uVS и необязательно, и утомительно. Слишком много здесь всего. И интересного и пустого. Разве что кто-то захочет отследить историю развития uVS? все таки уже почти два года тема UVS здесь на форуме.

Поэтому рубрикация по теме работы с UVS на форуме желательна.

[santy 151]

Вот например сейчас если файл exe* находиться в Temp и стоит в автозагрузке - то он автоматом попадает в "Подозрительные и вирусы"

А вот почему исполняемый файл SYSTEM32.EXE* копирующий в своём имени название системного каталога и стоящий в автозагрузке туда НЕ попадает я например не понимаю.

RP55,

судя по всему не разобрался с темой формирования поисковых критериев. Там ест ьвозможность вносить имена вредоносных программ, ссылки, в которые чаще всего прописываются вирусы, наименования производителей и другие....

Что мешает вам создать эти поисковые критерии, сохранить в файл, выложить на форум и дать им объяснение для чего они созданы. Да ничто.

Если будет добавлена возможность составных критериев для фильтрации файлов в автозапуске, как планируется в будущих разработках, еще гибче станет режим фильтрации.

Сколько человек сейчас использует AVZ ?

Это десятки и даже сотни тысяч человек...

Со временем uVS найдёт не меньшее число пользователей.

А сколько человек использует AVZ для лечения? для анализа по htm-логу?. В основном - хелперы с форумов поддержки, остальные только используют его для создания логов.

uVS - так же не рассчитан на "массовое потребление". Создать образ автозапуска - пожалуйста. Даже отдаленные от компьютерной грамотности девушки делают это. А выполнить анализ состояния по образу автозапуска - извини, здесь недостаточно инструкций для работы с uVS. Нужен опыт, вообще анализа состояния систем. uVS лишь значительно облегчает эту задачу.

Так что использовать его будут в основном опять же кто- хелперы с форумов, да продвинутые админы, которым интересны такие нестандартные программы, которые много работают по удаленному доступу с рабочими компами. и стремятся оперативно вылечить зараженные компы, не дожидаясь помощи техподдержки антивирусных компаний, и когда вирлабы выпустят необходимые сигнатуры.

И кому интересен uVS - тот приходит на форум и спрашивает и предлагает что -то свое.

[PR55.RP55 82]

RP55,

судя по всему не разобрался с темой формирования поисковых критериев. Там есть возможность вносить имена вредоносных программ, ссылки, в которые чаще всего прописываются вирусы, наименования производителей и другие....

Судя по всему разобрался.

Я говорю о СТАНДАРТНЫХ поисковых критериях.

Которые должны быть у всех.

И прежде всего я говорю о Синтетических- Составных критериях.

Например на наличие 2 или даже 3-х A.V. Производителей в Образе Автозапуска.

Сколько сейчас производителей Антивирусов в наличие ? Десятки.

И вот человек сидит и пишет в ручную сотни их сочетаний ?

Вряд ли это хорошая идея; ПЕРЕКРЁСТНАЯ проверка должна производиться автоматически.

Подгружается список ИЗ слов ( будущих поисковых критериев ) и уже uVS самостоятельно проверяет на все варианты их сочетаний.

Как пример:

Dr.Web & AVAST

AVAST & Kaspersky

Kaspersky & Safe n Sec

Safe n Sec & Kaspersky & AVAST

AVAST & G DATA & Trendmicro

*Да можно самостоятельно создать и выложить в свободный доступ

**Вот у антивируса есть эвристика.

У uVS она тоже есть...

Поэтому ряд СТАНДАРТНЫХ поисковых критериев должен входить в её состав.

В конце концов можно распространять как отдельный файл.

Файл, дополнение к программе.

Или, что лучше добавлять записи попавшие под детект не в категорию "Подозрительные и вирусы", а в категорию: "Детект по поисковым критериям".

И ещё раз... в Категорию "Подозрительные и вирусы" попадают файлы, если "Имя файла похоже на имя известного..."

А когда имя файла ПОВТОРЯЕТ ! имя системного каталога, то файл НЕ подозрителен

SYSTEM32.EXE

Вот зачем/ЗАЧЕМ мне его добавлять в список поисковых критериев - если данный критерий должен входить в состав uVS.?!!

Лично видел на форуме ESET 3-4 таких случая - И как понятно ситуация вполне реальная.

-----------------------------------------------------------------------------------------------------------------------------------------------------

P.S.

Согласен, что все предложения по развитию должны размещаться на отдельной странице.

Но, куда мне писать свои размышления ?.

Ведь нужно не только сделать предложение - НО, и убедить в его необходимости/целесообразности.

[omnilynx13 10]

uVS - так же не рассчитан на "массовое потребление"

Частично согласен santy. uVS не рассчитан на "массового пользователя" и это на мой взгляд хорошо. Но при этом как не парадоксально, мой опыт показывает что "рядовому " пользователю достаточно бывает запустить uVS и увидев в подозрительных 5r4u1y54.exe или jtypoj.dll или нечто без цифровой подписи, а если он ещё может пользоваться проверить через virustotal … позволят чуточку грамотному пользователю в несложных случаях убивать заразу, сразу и без особых последствий. Не говоря уж о том, что после этого обычно резко просыпается антивирусник, проспавший зловреда.

Сам последнее время стараюсь проверять, через uVS, неактивную систему т.к. руткиты

[demkd 590]

Например на наличие 2 или даже 3-х A.V. Производителей в Образе Автозапуска.

И что же это дает?

Но, куда мне писать свои размышления ?.

Ведь нужно не только сделать предложение - НО, и убедить в его необходимости/целесообразности.

Вот для этого и существует тема для предложений. А если хочется просто поразмышлять на тему uVS то никто не запрещает завести свою отдельную тему.

[zloyDi 15]

Всем привет, хотел бы проконсультирвоатся со спецами по ЮВС, есть ПК, на нем нод постоянно находит в бут секторе вирус, вот скрин

Вот лог ювс

http://rghost.ru/16938221

Хотел бы узнать

Данный скрипт поможет или надо там 0 ставить.

;uVS v3.68 script [http://dsrt.dyndns.org]fixmbr MBR#1 [74,5GB]

Заранее спасибо.

[santy 151]

а если сделать дамп MBR #1 и проверить на ВТ?

[demkd 590]

zloyDi

Да, нестандартный MBR, может и заражен, а может и нет, дамп ничем не детектится, в автозагрузке ничего особо подозрительного нет, разве что FROST.SYS...

В любом случае указанный скрипт зальет стандартный загрузчик... если сможет, всегда есть вероятность наличия буткита и то что попало в образ не соотв. реальности, хорошо бы сверку сделать или образ загрузившись с диска.

[zloyDi 15]

Спасибо, тазик не мой и далеко. Попробую выполнить скипт.

[santy 151]

Спасибо, тазик не мой и далеко. Попробую выполнить скипт.

может руткит пытается сделать запись в mbr, на что Есет реагирует, но очистить источник угрозы не может? может, лучше вначе выполнить виртуализацию реестра + затем уже fixmbr?

-----

безопасная виртуализация

sreg

areg

-----

будет перезагрузка, затем уже пробовать fixmbr если НОД будет продолжать сигналить

[demkd 590]

также не удалось последней(2.68) версией восстановить работу сети, не работал интернет экплорер и опера

Изучил я это дело, uVS лишь поддерживает нумерацию в каталогах при удалении соотв. dll:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9

+ аналоги для x64

однако если лечение проводилось другой программой, которая не обременяет себя слежением за порядком в каталоге то любое нарушение нумерации или несоотв. количества элементов неизбежно приведет к проблемам с доступом приложений к сети, поэтому в v3.69 будет добавлен код который будет анализировать состояние каталогов и выдавать соотв. предупреждения в лог, он же будет автоматически приводить количество элементов к фактическому значению. На счет восстановления нумерации тут я еще подумаю или она будет автоматическая при обновлении списка или будет сделан отделный твик.

[demkd 590]

v3.69 релиз.

Изменения в соотв. теме.

К сожалению исходящий HTTP трафик неуклонно растет и уже перевалил за гигабайт в сутки поэтому английская версия (которая с базой) перенесена на обменник туда же залита русская версия с базами, фаром, vtuploader-ом и некоторыми настройками см. на оф. сайте. Если трафик перевалит за 2 гига в стуки придется отправить туда и базу. Если Microsoft прояснит вопрос с допустимостью выкладывать образы Windows PE v3.1 c uVS на борту, то будет выложен в свободный доступ и загрузочный диск (архив 144Mb).

[omnilynx13 10]

На оф.сайте ссылка на v3.68

а в теме О программе v3.69 качнул оттуда

[demkd 590]

На оф.сайте ссылка на v3.68

Исправил

[santy 151]

Исправил

Дмитрий, посмотри, пожалуйста,

вот такой образ

OVERLORD_2011_08_13_22_46_33.rar

как средствами uVS очистить ссылки на отладку?

Полное имя C:\WINDOWS\SYSTEM32\NTSD.EXE

Имя файла NTSD.EXE

Тек. статус ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Доп. информация на момент обновления списка

SHA1 353F91843B90CDA869D4FAF9DC16A643ECF0727A

MD5 53E6656B159D3F2648C4553D65554573

Ссылки на объект

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe\Debugger

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvastU3.exe\Debugger

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avconsol.exe\Debugger

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe\Debugger

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe\Debugger

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com\Debugger

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe\Debugger

.............

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path\Debugger

Debugger ntsd -d

достаточно здесь будет команды

В скрипт добавлена команда: delref %Sys32%\NTSD.EXE

?

OVERLORD_2011_08_13_22_46_33.rar

[demkd 590]

delref %Sys32%\NTSD.EXE

Да, для снятия блокировки запуска этого хватит.

В образе все в обломках... видать антивирусом прошлись

И глюк uVS есть, неправильно путь разобрал для twext.exe