Universal Virus Sniffer (uVS), Вопросы разработчику

[demkd 590]

alamor

а для чего проверять то что отключено?

[alamor 69]

Там довольно часто записи от вирусов

[demkd 590]

alamor

Я таки считаю что подбор неактивных тушек вирусов дело антивируса, так что смысла не вижу.

[alamor 69]

demkd если бы антивирус видел эти вирусы, то необходимости в uVS почти не было бы. А так, получается сделали анализ prefetcher-а (от этого вообще практическая польза есть ?), а обычный автозапуск целиком не проверяется и не чистится, и опять надо прибегать к помощи других утилит. uVS удобен, как раз тем, что он видит то что не видят другие утилиты и позволяет избежать комплекса утилит, где одна утилита видит только одно, а другая только другое.

[demkd 590]

alamor

от префетчера вроде как да польза небольшая есть, а вот \msconfig к автозапуску отношения не имеет, оттуда ничего запустится никак не может если не приложить к этому руки.

[alamor 69]

Никто не гарантирует, что потом пользователь не приложит к этому руку. Получается после лечения uVS могут оставаться незамеченные вирусы, либо опять получается история, которая была с AVZ, часть смотришь в одной утилите, а часть надо смотреть где-то ещё. Зачем это возня, если можно просто добавить анализ ещё нескольких ключей реестра.

[santy 151]

alamor,

лечение системы после скриптов не заканчивается.

как правило, после удаления активных вирусов из автозапуска с помощью uVS, с которыми не может справиться штатный антивирус, запускается сканер с достаточно большой базой сигнатур. подбирать трупики на поле боя. незамеченным никто не остается.

[Angel-iz-Ada 0]

Да и Мбам везде используют после выполнения скриптов в uVS\AVZ.

Никто не гарантирует, что потом пользователь не приложит к этому руку.

это только юзера проблемы - нечего лезть куда не следует, а вытирать за всеми попу не получится. да и кто полезет в msconfig чтоб повключать что-то неизвестное?

[alamor 69]

1) Имхо, не лучший вариант после лечения uVS ещё два часа сканировать с помощью CureIt просто ради того, чтобы прибрать вирусы, которые не видит uVS o_O. Ещё не факт, что на тот момент будет сигнатура на этот вирус.

2) Не уверен, что антивирусные сканеры потом корректно почистят записи за этими телами.

[Angel-iz-Ada 0]

1. по-моему CureIt'ом сейчас только блондинки пользуются. santy выше имел ввиду сканер который имеется в установленном антивирусе у человека.

2. даже если записи не удалятся антивирусом - они совершенно безвредны. какие нибудь чистилки пускай сносят эти записи если кому мешают.

[demkd 590]

alamor

таки нет смысла в этом как и нет смысла гонять тот же cureit после лечения, подбор тушек дело штатного антивируса, вероятность же того что юзверь пойдет в msconfig и включит неучетнное тельце просто нулевая. Скорее уже он тут же запустит что-то веселое с флехи или с рабочего стола или ткнет ссылку в браузере, вот это уже имеет вероятность отличную от нуля.

Отличие же от разбора префетчера таки существенное, одно дело файлы которые точно запускались руками или опосредованно и могут быть запущенны в любой момент с того же рабочего стола, другое дело файл специально выброшенный из автозапуска, который никак не может туда вернуться самостоятельно.

[santy 151]

1) Имхо, не лучший вариант после лечения uVS ещё два часа сканировать с помощью CureIt просто ради того, чтобы прибрать вирусы, которые не видит uVS o_O. Ещё не факт, что на тот момент будет сигнатура на этот вирус.

2) Не уверен, что антивирусные сканеры потом корректно почистят записи за этими телами.

на форуме, мы контролируем лог только после быстрого сканирования малваребайт, который выполняется в течение 5-10 минут. Для очистки активного заражения этого обычно хватает. (если конечно нет файлового заражения).

после всех процедур (лечение скриптами + быстрый скан в малваребайт+ доп. утилиты, если есть в этом необходимость + закрытие уязвимостей), которые проходят под контролем хелпера можно предложить полное сканирование штатным антивирусом, или курейтом в безопасном режиме. но это уже под контролем и по желанию пользователя.

------

[alamor 69]

santy, Angel-iz-Ada вам больше нравится удалять тела через MBAM, когда это же можно сделать, через uVS лог которого и так запрашиваете?

demkd, что мешает расширить функционал утилиты и сделать её более универсальной, чтобы снизить необходимость после неё подчищать другими утилитами? На момент лечения у штатного антивируса может не быть (и скорее всего, нет) детекта на этот вирус.

[santy 151]

santy, Angel-iz-Ada вам больше нравится удалять тела через MBAM, когда это же можно сделать, через uVS лог которого и так запрашиваете?

alamor,

если текст внимательнее прочесть, а не отдельную часть которую вам нравится интерпретировать, то можно увидеть некоторый порядок, которого придерживаются хелперы на форумах.

1. проблемы пользователя устраняются скриптами uVS/AVZ

2. выполняется зачистка остатков быстрым сканированием малваребайт

3. выполняется очистка дополнительными утилитами, если в этом есть необходимость.

4. выполняется закрытие уязвимостей.

почему малваребайт (нравится)

небольшой установочный дистр. 10Мб

небольшая база обновлений 4-5Мб

режим быстрого сканирования 5-10 минут

+

достаточно качественная очистка при минимальной затрате ресурсов.

5. остальное делается по желанию трудящихся. в удобное для них время.

полное сканирование штатным антивирусом с обновлением баз;

полное сканирование всем чем угодно с размером дистра 100Мб

и со временем сканирования - несколько часов и более.

(в этот процесс мы уже не вмешиваемся, нам дорого наше время.)

-------------

по поводу расширить функционал, и заменить сканирование утилитами.

(если конечно речь идет о malwarebytes, cureit, avptool.)

1. "нельзя объять все необъятное", К.Прутков

2. зачем? если они_утилиты успешно автоматически сканируют и выполняют очистку.

[Angel-iz-Ada 0]

еще третий пункт можно добавить: вы хотите чтобы образ автозапуска был от 20 мб и выше?

[alamor 69]

по поводу расширить функционал

Я имел ввиду расширить функционал uVS с целью уменьшить необходимость запроса дополнительных утилит (MBAM, AVZ и т.д.).

еще третий пункт можно добавить: вы хотите чтобы образ автозапуска был от 20 мб и выше?

Добавление в лог анализа ещё трёх четырёх ключей автозапуска практически не повлияют на размер лога.

[santy 151]

Я имел ввиду расширить функционал uVS с целью уменьшить необходимость запроса дополнительных утилит (MBAM, AVZ и т.д.).

имхо, расширять функционал uVS в сторону сканеров (mbam, к примеру) нет смысла. сканер хорош и бесплатен, зачем его дублировать в uVS.

единственно, чем сейчас AVZ дополняет скрипты uVS - это скриптом закрытия уязвимостей.

Возможно с выходом новой версии AVZ что-то изменится, но сейчас пока так обстоят дела. (uVS +mbam + (AdwCleaner)+ (tdsskiller, но и он в последнее время не детектирует из активной системы бутовый вариант Carberp)+ close the vulnerability in AVZ).

на других форумах (где первые логи идут от AVZ) по другому бывает (AVZ+mbam+uVS+close the vulnerability in AVZ), т.е. периодически возникает необходимость посмотреть образ uVS, если картинка не складывается по логу AVZ.

[demkd 590]

alamor

конечно же лень мешает, я не вижу смысла в добавлении избыточного функционала, польза от которого разве что... моральное удовлетворение.

[alamor 69]

santy никто не говорит расширять в сторону сканеров. Сканер это утилита совсем другого профиля и упор там делается на сигнатурный анализ. Я же говорю о дополнительной проверке ключей автозапуска.

demkd польза, имхо, очевидна никто не отрицает, что в этих ключах часто сидят зловреды.

[akoK 75]

Примерно так отбивался Олег когда ему доказывали, что AVZ должна чистить следы которые остались в реестре после отключения.

Лень как деньги, чем больше ее у человека, тем больше ему хочется еще

Думаю стоит допилить функционал, до нормальных показателей. Сидеть выбирать хлам в RSIT после (или до) UVS не есть хорошо.

[santy 151]

alamor,

о какой дополнительной проверке ключей в mbam идет речь? (оставим пока за скобками AVZ).

akok,

иногда лень бывает хорошим буфером против незрелых предложений. собственно зачем нужен RSIT, если активное заражение вылечено скриптами? все остальное со временем зачистится штатным антивиром и всевозможными клинерами.

[akoK 75]

Чем же не зрело предложение мониторить ветку реестра? Тем, что консультант пропустит вредонос? Или тем, что не сможет определить вид заражения и дать рекомендации?

[santy 151]

я предлагаю быть конструктивными в данной теме и начинать свои выступления с обоснованных предложений, а не с критики.

[akoK 75]

Я конструктивизм еще два листа назад потерял.

[Sergey Dindikov 10]

UVS 3.80.3

почему при нажатии Ctrl+ буква в поле фильтрации появляется квадратик? ( пример: CTrl+Q, W,E......)

http://screencast.com/t/agXRBQR9