Universal Virus Sniffer (uVS), Вопросы разработчику - Страница 52 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

santy

AutoConfigURL работает

-----------

Полное имя хттп://LASUPPORTE.COM/SKTK28E/GOOGLE.PAC

Имя файла хттп://LASUPPORTE.COM/SKTK28E/GOOGLE.PAC

Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям

AUTOCONFIGURL (AUTOCONFIGURL ~ .PAC)(1)

Сохраненная информация на момент создания образа

Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Ссылки на объект

Ссылка HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL

AutoConfigURL хттп://lasupporte.com/SKtk28e/google.pac

Ссылка HKEY_USERS\S-1-5-21-1433674745-3102490473-1095164493-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL

AutoConfigURL хттп://lasupporte.com/SKtk28e/google.pac

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Встреча uVS с Лешим \

Актуально для всех версий.

Пример Видео/exe/архив: http://rghost.ru/43184910

+

Также:

Если применить команду: "Добавить хэши исполняемых файлов каталога в базу проверенных"

uVS просто вылетает... ( Как это было при копировании полного пути )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

По эвристике.

C:\WINDOWS\SYSTEM32\ISM\CFTMON.EXE

В подозрительные не попал...

см.Образ/пример в теме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Hotab

Всем привет!

Тема: http://virusinfo.info/showthread.php?t=131807

Был сделан лог ComboFix, где был найден файл c:\users\Public\Documents\Documents.exe, далее лог uVS, его нет там! Как это можно объяснить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Всем привет!

Тема: http://virusinfo.info/showthread.php?t=131807

Был сделан лог ComboFix, где был найден файл c:\users\Public\Documents\Documents.exe, далее лог uVS, его нет там! Как это можно объяснить?

все зависит от того в каком порядке вы делали логи.

если вначале был сделан лог Combofix, то uVS его естественно не найдет, потому как он автоматически удален в Комбофикс.

если же вначале был сделан образ uVS, (а уже после лог Combofix) то можно предположить, что данного файла Documents.exe нет в автозапуске системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Был сделан лог ComboFix, где был найден файл c:\users\Public\Documents\Documents.exe, далее лог uVS

похоже Hotab неправильно выразился, судя по ссылке сначала шёл uVS, а далее лог ComboFix. Если кто-нибудь там запросил бы карантин ComboFix то думаю легче было бы сказать, почему не видно. По крайней мере был бы сэмпл на руках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Hotab
похоже Hotab неправильно выразился, судя по ссылке сначала шёл uVS, а далее лог ComboFix. Если кто-нибудь там запросил бы карантин ComboFix то думаю легче было бы сказать, почему не видно. По крайней мере был бы сэмпл на руках.

Точно, не так выразился (засыпал уже :( ) Сэмпл попробую достать!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Точно, не так выразился (засыпал уже :( ) Сэмпл попробую достать!

похоже, не совсем еще проснулся. Какой смысл в сэмпле, если проблема в другом. Был он в автозапуске или нет. комбофикс удалил, следов в автозапуске в логе Комбофикс нет. Мало ли вирусов лежит на диске, почему они все должны быть в образе. команду adddir используем, если надо чтобы исполняемые из каталога попали в образ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Скопировал скрипт на больном компе и промазал. Вместо start, нажал на startf. После человек пропал со скайпа и меня оттуда выкинуло. Ничего плохо не могло случится? И что это за файл startf? Боюсь, что что-то не то сделал.

Пишет теперь при загрузке винды UVS V3. Винда не загружается, что делать?

Фуууухххх, хорошо, что он смог загрузиться, иначе, не знаю чего делал бы. А что все-таки за файл тот был?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
А что все-таки за файл тот был?

при удаленном подключении управление рабочим столом будет потеряно. (так что нельзя промахнуться мимо start.exe)

В версии 2.70 добавлен дополнительный стартер - StartF.exe

Этот файл обладает иммунитетом к некоторым видам троянов, блокирующих запуск любых процессов и

соотв. способен запуститься, когда запуск других приложений НЕвозможен.

При запуске он блокирует:

o внедрение библиотек с помощью реестра в запускаемый процесс.

o запуск и перезапуск служб

и (!) выгружает все НЕизвестные процессы, разрешает запуск редактора реестра и диспетчера задач,

после чего запускает start.exe с ключом /d на (чистом рабочем столе), что практически полностью

исключает внедрение в uvs посторонних DLL.

(!) Startf.exe работает в течении 30 секунд и за это время необходимо выбрать параметры запуска uvs.

(!) StartF должен завершиться самостоятельно, выгружать его насильно не стоит.

(!) Перед завершением startf разблокирует запуск служб и снимает запрет на внедрение DLL.

(!) До завершения startf не_рекомендуется предпринимать активные действия в uvs.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
stoyn

Уведомление локальных событий.

Тип события: Уведомление

Источник события: Application Popup

Категория события: Отсутствует

Код события: 26

Дата: 10.02.2013

Время: 13:48:26

Пользователь: Н/Д

Компьютер:

Описание:

Всплывающее окно приложения: [C:\WINDOWS] uVS v3.77.5 Copyright © Кузнецов Д.М. 2009-12 [ dsrt.dyndns.org ]: qiqria - Ошибка приложения : Инструкция по адресу "0x0041d491" обратилась к памяти по адресу "0xffffffff". Память не может быть "read".

"ОК" -- завершение приложения

"Отмена" -- отладка приложения

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

stoyn

Хорошо бы еще минидамп получить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
stoyn
stoyn

Хорошо бы еще минидамп получить.

Есть минидамп,как и куда отправить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

При проверке файлов из образа на VT наблюдаю такую картину

213e76f515fb.jpg

Вот образ автозапуска, но не думаю, что это связано с ним, т.к. это повторилось на нескольких.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

Вот, хотел то же самое написать. Что-то в API подкрутили на VT.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Вот ещё красота

026c37a24107.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

stoyn

спасибо, посмотрю, в какой момент срубился uVS?

по VT см. раздел тестирования, в 3.77.6 проблема устранена.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
stoyn
stoyn

спасибо, посмотрю, в какой момент срубился uVS?

по VT см. раздел тестирования, в 3.77.6 проблема устранена.

Минидамп ошибки при попытке запуска 3.77.6

WER1580.dir00.zip

WER1580.dir00.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

stoyn

а без грыжика "антисплайсинг" запускается?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

У функции "Включить поддержку AHCI" обнаружился полезный побочный эффект, с помощью нее можно легко без переустановки переносить систему на любое новое железо (конечно пока только Intel и только с поддержкой AHCI), даже если предварительная установка стандартного PCI-IDE контроллера и включение IDE совместимого режима контроллера в BIOS-е приводит к BSOD-у.

Добавлю еще функцию интеграции IDE совместимых устройств и тогда апгрейд и даунгрейд железа ВСЕГДА будет проходить без переустановки системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

stoyn

минидамп не помог, но могу дать debug версию возможно с нее дамп будет полезен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
stoyn
stoyn

минидамп не помог, но могу дать debug версию возможно с нее дамп будет полезен.

Можно попробовать.Кстати у меня такая проблема на двух машинах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

stoyn

http://dsrt.dyndns.org/files/uvs_debug.7z

положить в каталог uvs и запустить, если запустится и будет работать без проблем то дело таки в опциях запуска, скорее всего в антисплайсинге

если срубится то минидамп мне :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
stoyn
stoyn

http://dsrt.dyndns.org/files/uvs_debug.7z

положить в каталог uvs и запустить, если запустится и будет работать без проблем то дело таки в опциях запуска, скорее всего в антисплайсинге

если срубится то минидамп мне :)

Минидамп 19.02.13

____.7z

____.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×