Universal Virus Sniffer (uVS), Вопросы разработчику

[demkd 590]

art

это уже глюки dyndns клиента, почему-то иногда не хочет обновлять ip.

на пакеты ссылки обновятся когда выйдет новая версия.

[demkd 590]

Добавил постоянную ссылку на обменник

Базу обновил 596433.

[Angel107 30]

ага, свет рубанули и хз когда включат.

Может бесперебойное питание на пару часов уже пора приобретать? Россия и систематические отключения электроэнергии это уже норма жизни!...

[PR55.RP55 82]

MBR.Rootkit.Mayachok.A

http://virusscan.jotti.org/en/scanresult/7...21bf306ede5c760

Симптомы: "Некоторые сайты либо загружают какие-то буквы, цифры и т.п., либо загружаются раза с десятого, либо не загружаются вообще."

Так сказать для научного анализа.

А то, на странице uVS начался Брежневский период...

P.S.: ГРАЖДАНЕ ПРИ РАБОТЕ С ОБРАЗАМИ ПРОВЕРЯЙТЕ MBR - берегите здоровье общественных PC !!!

[demkd 590]

PR55.RP55

Да, проверять загрузчики как минимум на vt стоит всегда, а у меня и сигнатура сработала на ipl

[Smit 29]

вот вчера выловил на 7х64 блокирует кучу программ гадит в защищенном хосте и по моему в статических маршрутах тоже, антивири его не видят (на вирус тотал отослал)

проверка цифровой подписи приводит к вылету uVS и потом семерка стоит с пустым рабочим столом и ни на что не реагирует , к стати запустить программу можно только с ключом F

пришлось убивать гада из под вин пе

[ссылка удалена]

[demkd 590]

Smit

Гляну почему вылетает, а ссылку на зловреда в след. раз таки в ЛС.

И да, для этого типа зловредов либо startF, который иммунный к ним, либо с диска.

[santy 151]

приветствую,

можно как то решить проблему MBRLock с помощью WinPe&uVS если локер так же гасит определение типа файловой системы?

http://forum.esetnod32.ru/forum6/topic2640/

+ предложение,

добавить в образ автозапуска вместе с настройками стартовых страниц браузеров еще и настройки прокси если есть.

иногда лень бывает глянуть в лог hj, а надо бы иногда

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 119.46.111.5:8080

[santy 151]

к первому предложению,

алгоритм мог бы быть такой: загружаемся с Winpe&uVS, выбираем текущий поьзователь, т.е. выбираем для анализа систему с X,

но при этом uVS создает список всех доступных загрузчиков со всех дисковых устройств с указанием типов файловой системы,

+ возможностью исправления ошибок в определении файловой системы.

[demkd 590]

можно как то решить проблему MBRLock с помощью WinPe&uVS если локер так же гасит определение типа файловой системы?

нельзя, uvs переписывает только загрузчик, таблицу разделов он не трогает, зловред видимо тупо заксорил таблицу разделов, тут надо смотреть.

и настройки прокси если ест

да, надо, но все лень.

но при этом uVS создает список всех доступных загрузчиков со всех дисковых устройств с указанием типов файловой системы,

+ возможностью исправления ошибок в определении файловой системы.

он и так их создает, но вот исправления это уже дело специализированной программы - это слишком нетривиальная и мало того опасная операция.

[santy 151]

нельзя, uvs переписывает только загрузчик, таблицу разделов он не трогает, зловред видимо тупо заксорил таблицу разделов, тут надо смотреть.

архив с mbr и pt, сделанные в bootice (из под WinPE)

http://rghost.ru/28372241

[santy 151]

Получилось таки проверить исправление в системных службах на правильную сервисную dll.

http://dsrt.dyndns.org]

delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\IPSDLG.8TH

было

по образу автозапуска:

Полное имя C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\IPSDLG.8TH

Имя файла IPSDLG.8TH

Тек. статус ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [sAFE_MODE] [sVCHOST]

...

Ссылки на объект

Ссылка HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\ServiceDLL

ServiceDLL %CommonProgramFiles%\microsoft shared\ipsdlg.8th

по логу ESI

"Сервер" = "%commonprogramfiles%\microsoft shared\ipsdlg.8th" Автоматический ; Остановлено ; ( 5: Неизвестно ) ;

после выполнения скрипта

стало

по образу автозапуска

Полное имя C:\WINDOWS\SYSTEM32\SRVSVC.DLL

Имя файла SRVSVC.DLL

Тек. статус АКТИВНЫЙ ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ сервисная_DLL в автозапуске [sAFE_MODE] [sVCHOST]

..........

Ссылки на объект

Ссылка HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\ServiceDLL

ServiceDLL C:\WINDOWS\SYSTEM32\SRVSVC.DLL

по логу ESI

"Сервер" = "c:\windows\system32\srvsvc.dll " Автоматический ; Загружено ; ( 1: Точно ) ; Server Service DLL ; Microsoft Corporation ;

[art 0]

Небольшой вопрос. Правильно ли это при лечении загрузочных баннеров:

1) выбрать "system.ini и Загрузчики"

2) выставить галки на "скрыть проверенные" и "скрыть известные"

3) если останутся записи, имя которых начинается на MBR или VBR, то восстанавливаем его: "Руткиты"-> "Заменить загрузчик...."

4) если в окне UVS остались другие записи, например, NTDETECT.COM или NTLDR, то клик правой кнопкой мыши по записи -> "Проверить внутреннюю/внешнюю цифровую подпись файла" - если проверка будет пройдена, то запись будет убрана, а если проверка НЕ будет пройдена, то следует заменить этот файл из дистрибутива.

Достаточно ли этого для удаления загрузочных баннеров?

[Celsus 60]

Для этого есть Windows AIK. _atorun развернуть в корень диска если это нужно.

Скачал Windows Automated Installation Kit supplement, в файле iso 2 папки AMD64 и x86, а также 4 файла COPYPE.CMD, PESETENV.CMD, SETSANPOLICY.CMD, SSSHIM.DLL. Нужно положить файлы UVS и файлы из _autorun в корень ISO и записать на диск?

Второй вопрос: в форумах пишут, что метод сравнения снимков системных дисков дает почти 100 процентное выявление rootkit, при условии, что он "живет" на жестком диске, а не попадает каждый раз из сети в оперативную память. Верно ли я понял то, что говорят?

[demkd 590]

Достаточно ли этого для удаления загрузочных баннеров?

Нет. Пользоваться жесткими схемами бесполезно для решения произвольной задачи.

uVS это всего лишь скальпель и для его использования требуется квалифицированный хирург.

Нужно положить файлы UVS и файлы из _autorun в корень ISO и записать на диск?

В общем случае да. Вообще в след. версии будет либо встроенная возможность создания образа, либо будет отдельная утилита для создания загрузочной флешки. Конечно при наличии хотя бы апдейта WAIK.

Верно ли я понял то, что говорят?

При использовании файла сверки верно.

[santy 151]

В общем случае да. Вообще в след. версии будет либо встроенная возможность создания образа, либо будет отдельная утилита для создания загрузочной флешки. Конечно при наличии хотя бы апдейта WAIK.

Дмитрий, будет ли при этом возможность из интерфейса uVS (или отдельной утилиты) добавить кроме uVS и другие полезные программки в загрузочный образ WinPe? (far, и проч.)

[demkd 590]

santy

Да, минимально будет заливаться полный пакет uvs с far-ом и 7za, но в принципе никто не мешает добавить в каталог для интеграции свой софт.

[Vvvyg 12]

Попробовал управление удаленным рабочим столом. Причём, если раньше я просто смотрел, что творится в пользовательском сеансе и тыкал мышкой, то сегодня подключился к компьютеру, где вход в систему ещё не произведён. Пытаюсь зайти что админом, что пользователем, получаю предупреждение об ошибке загрузки профиля и, после входа, девственно чистый рабочий стол, приветствие виндовс и все дела. Когда залогинился локально - всё на месте, профили не слетели. Я, конечно, понимаю, что uVS ни разу не замена Radmin и пр., но хотелось бы знать - это баг, или фича? Т. е. ограничение способа подключения, или так и задумано? Система, к которой подключался - XP SP3, uVS 3.72b. Ещё заметил - на управляемой машине, достаточно слабенькой, большая загрузка процессора во время сеанса.

[demkd 590]

получаю предупреждение об ошибке загрузки профиля

В settings.ini

; Управление загрузкой в сетевом режиме.

bNetFastLoad = 0 (0 - обычный запуск)

1 (по умолчанию, не считывать список автозапуска)

2 (не считывать список автозапуска и открыть удаленный рабочий стол)

Проблема вызвана тем что uVS загружает ВСЕ профили пользователей по случайному пути, соотв. вход в раб. станцию возможен лишь ДО загрузки списка автозапуска. В последних весиях bNetFastload = 1 по умолчанию.

Ещё заметил - на управляемой машине, достаточно слабенькой, большая загрузка процессора во время сеанса.

Это нормально, используется самый надежный способ считывания экрана, который работет везде и всегда, но это стоит процессорного времени и требует достаточно быструю видеокарту.

Beta2 доступна для скачивания, теперь можно собирать образы загрузочных дисков и делать флешки загрузочными прямо из uVS.

[santy 151]

в последнее время на форумах ESET, pchelpforum достаточно много тем с заражением, где встречается сообщение антивира (у ЕСЕТ, у других не знаю как сигналят или нет)

Оперативная память » explorer.exe(4028) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна.

Сам Carberp (%SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE) в автозапуске отсуствует, но при этом в загрузчиках (в IPL) находится RKIT/Book.Cidox.A

http://pchelpforum.ru/f26/t68753/11/#post662058

проблема лечится с помощью uVS перезаписью загрузчика VBR из активной системы.

[shestale 0]

Здравствуйте. Подскажите, что означаю эти строки в логе

(!) Обнаружен сплайсинг: LdrLoadDll(!) Обнаружен сплайсинг: LdrUnloadDll

[demkd 590]

shestale

То что данные функции перехвачены методом сплайсинга.

Этим занимается устаревший защитный софт или usermode руткиты.

[g0dl1ke 26]

Добрый вечер господа, решил проверить функцию восстановления файлов в uvs и вот что получилось:

1. вирус заразил/удалил файл COMRES.DLL

2. загрузился с livecd и попробовал восстановить все известные файлы:

3. файл COMRES.DLL, якобы отсутствует на диске, диск родной - windows xp sp3

4. руками восстановил файл, через

expand comres.dl_ c:\windows\system32\comres.dll

5. вопрос: "так и должно быть или я что-то делаю не так?"

[Celsus 60]

В общем случае да. Вообще в след. версии будет либо встроенная возможность создания образа, либо будет отдельная утилита для создания загрузочной флешки. Конечно при наличии хотя бы апдейта WAIK.

Пробовал так: в waik_supplement_ru-ru.iso с помощью UltraISO в корень дистрибутива копировал папу CD из архива _autorun и файлы uVS. Не получилось. Затем вместо папки CD положил файлы из нее в корень дистрибутива и файлы uVS. Пробовал запускать в виртуальной машине virtualbox - не получается загрузка с образа диска WAIK (с обычного установочного образа Windows 7 загрузка происходит). Подтверждал замену файлов start и srtatd файлами из архива _autorun

[demkd 590]

g0dl1ke

"Хранилище файлов.txt"

Т.е. если развернуто хранилище то файлы должны быть там.

Если подкаталога STORE нет то будет запрошен дистрибутив или путь до хранилища.

Этот момент я упустил в документации, допишу и пожалуй добавлю пункт для ручного выбора хранилища для таких случаев.

Celsus

Ничего не понял.

Если таки не получается сделать ISO то скриншот окна создания загрузочного диска со всеми заполненными полями и описание что и куда скидывалось, тогда скажу что не так.