Universal Virus Sniffer (uVS), Вопросы разработчику - Страница 55 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

demkd

alamor

а для чего проверять то что отключено?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Там довольно часто записи от вирусов B)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

alamor

Я таки считаю что подбор неактивных тушек вирусов дело антивируса, так что смысла не вижу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

demkd если бы антивирус видел эти вирусы, то необходимости в uVS почти не было бы. А так, получается сделали анализ prefetcher-а (от этого вообще практическая польза есть ?), а обычный автозапуск целиком не проверяется и не чистится, и опять надо прибегать к помощи других утилит. uVS удобен, как раз тем, что он видит то что не видят другие утилиты и позволяет избежать комплекса утилит, где одна утилита видит только одно, а другая только другое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

alamor

от префетчера вроде как да польза небольшая есть, а вот \msconfig к автозапуску отношения не имеет, оттуда ничего запустится никак не может если не приложить к этому руки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Никто не гарантирует, что потом пользователь не приложит к этому руку. Получается после лечения uVS могут оставаться незамеченные вирусы, либо опять получается история, которая была с AVZ, часть смотришь в одной утилите, а часть надо смотреть где-то ещё. Зачем это возня, если можно просто добавить анализ ещё нескольких ключей реестра.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

alamor,

лечение системы после скриптов не заканчивается.

как правило, после удаления активных вирусов из автозапуска с помощью uVS, с которыми не может справиться штатный антивирус, запускается сканер с достаточно большой базой сигнатур. подбирать трупики на поле боя. незамеченным никто не остается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada

Да и Мбам везде используют после выполнения скриптов в uVS\AVZ.

Никто не гарантирует, что потом пользователь не приложит к этому руку.

это только юзера проблемы - нечего лезть куда не следует, а вытирать за всеми попу не получится. да и кто полезет в msconfig чтоб повключать что-то неизвестное?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

1) Имхо, не лучший вариант после лечения uVS ещё два часа сканировать с помощью CureIt просто ради того, чтобы прибрать вирусы, которые не видит uVS o_O. Ещё не факт, что на тот момент будет сигнатура на этот вирус.

2) Не уверен, что антивирусные сканеры потом корректно почистят записи за этими телами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada

1. по-моему CureIt'ом сейчас только блондинки пользуются. santy выше имел ввиду сканер который имеется в установленном антивирусе у человека.

2. даже если записи не удалятся антивирусом - они совершенно безвредны. какие нибудь чистилки пускай сносят эти записи если кому мешают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

alamor

таки нет смысла в этом как и нет смысла гонять тот же cureit после лечения, подбор тушек дело штатного антивируса, вероятность же того что юзверь пойдет в msconfig и включит неучетнное тельце просто нулевая. Скорее уже он тут же запустит что-то веселое с флехи или с рабочего стола или ткнет ссылку в браузере, вот это уже имеет вероятность отличную от нуля.

Отличие же от разбора префетчера таки существенное, одно дело файлы которые точно запускались руками или опосредованно и могут быть запущенны в любой момент с того же рабочего стола, другое дело файл специально выброшенный из автозапуска, который никак не может туда вернуться самостоятельно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
1) Имхо, не лучший вариант после лечения uVS ещё два часа сканировать с помощью CureIt просто ради того, чтобы прибрать вирусы, которые не видит uVS o_O. Ещё не факт, что на тот момент будет сигнатура на этот вирус.

2) Не уверен, что антивирусные сканеры потом корректно почистят записи за этими телами.

на форуме, мы контролируем лог только после быстрого сканирования малваребайт, который выполняется в течение 5-10 минут. Для очистки активного заражения этого обычно хватает. (если конечно нет файлового заражения).

после всех процедур (лечение скриптами + быстрый скан в малваребайт+ доп. утилиты, если есть в этом необходимость + закрытие уязвимостей), которые проходят под контролем хелпера можно предложить полное сканирование штатным антивирусом, или курейтом в безопасном режиме. но это уже под контролем и по желанию пользователя.

------

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

santy, Angel-iz-Ada вам больше нравится удалять тела через MBAM, когда это же можно сделать, через uVS лог которого и так запрашиваете?

demkd, что мешает расширить функционал утилиты и сделать её более универсальной, чтобы снизить необходимость после неё подчищать другими утилитами? На момент лечения у штатного антивируса может не быть (и скорее всего, нет) детекта на этот вирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
santy, Angel-iz-Ada вам больше нравится удалять тела через MBAM, когда это же можно сделать, через uVS лог которого и так запрашиваете?

alamor,

если текст внимательнее прочесть, а не отдельную часть которую вам нравится интерпретировать, то можно увидеть некоторый порядок, которого придерживаются хелперы на форумах.

1. проблемы пользователя устраняются скриптами uVS/AVZ

2. выполняется зачистка остатков быстрым сканированием малваребайт

3. выполняется очистка дополнительными утилитами, если в этом есть необходимость.

4. выполняется закрытие уязвимостей.

почему малваребайт (нравится)

небольшой установочный дистр. 10Мб

небольшая база обновлений 4-5Мб

режим быстрого сканирования 5-10 минут

+

достаточно качественная очистка при минимальной затрате ресурсов.

5. остальное делается по желанию трудящихся. в удобное для них время.

полное сканирование штатным антивирусом с обновлением баз;

полное сканирование всем чем угодно с размером дистра 100Мб

и со временем сканирования - несколько часов и более.

(в этот процесс мы уже не вмешиваемся, нам дорого наше время.)

-------------

по поводу расширить функционал, и заменить сканирование утилитами.

(если конечно речь идет о malwarebytes, cureit, avptool.)

1. "нельзя объять все необъятное", К.Прутков

2. зачем? если они_утилиты успешно автоматически сканируют и выполняют очистку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada

еще третий пункт можно добавить: вы хотите чтобы образ автозапуска был от 20 мб и выше?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
по поводу расширить функционал

Я имел ввиду расширить функционал uVS с целью уменьшить необходимость запроса дополнительных утилит (MBAM, AVZ и т.д.).

еще третий пункт можно добавить: вы хотите чтобы образ автозапуска был от 20 мб и выше?

Добавление в лог анализа ещё трёх четырёх ключей автозапуска практически не повлияют на размер лога.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Я имел ввиду расширить функционал uVS с целью уменьшить необходимость запроса дополнительных утилит (MBAM, AVZ и т.д.).

имхо, расширять функционал uVS в сторону сканеров (mbam, к примеру) нет смысла. сканер хорош и бесплатен, зачем его дублировать в uVS.

единственно, чем сейчас AVZ дополняет скрипты uVS - это скриптом закрытия уязвимостей.

Возможно с выходом новой версии AVZ что-то изменится, но сейчас пока так обстоят дела. (uVS +mbam + (AdwCleaner)+ (tdsskiller, но и он в последнее время не детектирует из активной системы бутовый вариант Carberp)+ close the vulnerability in AVZ).

на других форумах (где первые логи идут от AVZ) по другому бывает (AVZ+mbam+uVS+close the vulnerability in AVZ), т.е. периодически возникает необходимость посмотреть образ uVS, если картинка не складывается по логу AVZ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

alamor

конечно же лень мешает, я не вижу смысла в добавлении избыточного функционала, польза от которого разве что... моральное удовлетворение. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

santy никто не говорит расширять в сторону сканеров. Сканер это утилита совсем другого профиля и упор там делается на сигнатурный анализ. Я же говорю о дополнительной проверке ключей автозапуска.

demkd польза, имхо, очевидна никто не отрицает, что в этих ключах часто сидят зловреды.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Примерно так отбивался Олег когда ему доказывали, что AVZ должна чистить следы которые остались в реестре после отключения.

Лень как деньги, чем больше ее у человека, тем больше ему хочется еще

Думаю стоит допилить функционал, до нормальных показателей. Сидеть выбирать хлам в RSIT после (или до) UVS не есть хорошо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

alamor,

о какой дополнительной проверке ключей в mbam идет речь? (оставим пока за скобками AVZ).

akok,

иногда лень бывает хорошим буфером против незрелых предложений. собственно зачем нужен RSIT, если активное заражение вылечено скриптами? все остальное со временем зачистится штатным антивиром и всевозможными клинерами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Чем же не зрело предложение мониторить ветку реестра? Тем, что консультант пропустит вредонос? Или тем, что не сможет определить вид заражения и дать рекомендации?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

я предлагаю быть конструктивными в данной теме и начинать свои выступления с обоснованных предложений, а не с критики.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Я конструктивизм еще два листа назад потерял.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

UVS 3.80.3

почему при нажатии Ctrl+ буква в поле фильтрации появляется квадратик? ( пример: CTrl+Q, W,E......)

http://screencast.com/t/agXRBQR9

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×