Universal Virus Sniffer (uVS), Вопросы разработчику

[goover 37]

и почему-то расширение само сносится... наверное так задумано

Это же фича для корпоративщиков.

Сделали "динамическую установку": расширение каждый раз подгружается из указанного в политике места.

А заодно сделали и "динамическое удаление": отключили политику - сразу пропало и расширение

Судя по отписавшимся теперь всё работает как надо. ( сам не пробовал - не подписан на апдейты ).

[santy 151]

любопытно, что в ccleaner есть функции по включению/отключению/удалению расширений браузеров, в том числе и для Chrome.

и функция отключить, действительно отключает расширение, добавленное через групповую политику.

при том, что добавленная политика не обнуляется.

а вот удаление отключенного уже расширения в ccleaner имело обратный эффект.

после запуска Chrome расширение восстановлено в списке, да со статусом "включено".

[PR55.RP55 82]

Всё в этой теме:

pchelpforum.ru/f26/t134595/#post1171625

Становиться традицией, что uVS не может получить доступ; проверить подпись и вообще найти файл...

Вопрос такой. Будут ли приняты меры ?

Полное имя C:\PROGRAMDATA\INVENTOR\SAFPDNDNN.EXE

Имя файла SAFPDNDNN.EXE

Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Сохраненная информация на момент создания образа

Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Инф. о файле Отказано в доступе.

Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Доступ Отсутствует доступ к предположительно исполняемому файлу

Ссылки на объект

Ссылка C:\WINDOWS\SYSTEM32\TASKS\WINDOWS UPDATE CHECK - 0X1A45045D

----------------------------

А файлы:

C:\ProgramData\Inventor\safpdndnn.exe

C:\Windows\Prefetch\SAFPDNDNN.EXE-ACC05EB1.pf

Есть...

И программа которая работает с:

" поиском данных и файлов на NTFS разделах за счет прямой работы с таблицей MFT раздела."

Их прекрасно видит.

----

1) Выше есть и книга по данной тематике.

http://www.anti-malware.ru/forum/index.php...st&p=175107

2) По поводу проверки подписи - я также предлагал вариант... ( думаю все помнят, что именно предлагал )

[g0dl1ke 26]

UltraSearch?

[PR55.RP55 82]

UltraSearch?

YES

[g0dl1ke 26]

27 твик не работает

[Smit 29]

http://rghost.ru/52510583

http://rghost.ru/52510630

в одном из этих скриней точно виновато было \\ 100%

[demkd 590]

Smit

ну это вина разработчиков софта, \\ в пути быть не должно.

[PR55.RP55 82]

Традиция... ?

-----------------------

Полное имя C:\PROGRAMDATA\SVCHOST0\RZSBKOTIU.EXE

Имя файла RZSBKOTIU.EXE

Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Сохраненная информация на момент создания образа

Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Инф. о файле Отказано в доступе.

Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Доступ Отсутствует доступ к предположительно исполняемому файлу

Ссылки на объект

Ссылка C:\WINDOWS\SYSTEM32\TASKS\WINDOWS UPDATE CHECK - 0X0C290301

------------------------

Напомню, что выше есть образ/пример 1.

Ссылки на объект

Ссылка C:\WINDOWS\SYSTEM32\TASKS\WINDOWS UPDATE CHECK - 0X1A45045D

------------------------

Нехорошая тенденция...

Образ №2 в теме.

[Smit 29]

ну это вина разработчиков софта то есть у вирусописателей тоже есть способ обманывать программу !?

не ужели так сложно пофиксить двойные слеши? или исправлять такие пути в реестре ... от этого программа только выиграет.

[demkd 590]

Smit

Двойной слэш в пути это ошибка, такая ссылка работать будет только в младших системах, в старших не обязана, потому такие ссылки будут выделяться.

А пофиксить в силу особенности работы uVS сложно, для этого надо писать специальный твик, когда-нибудь напишу, пока же гораздо проще щелкнуть по ссылке и ручками исправить.

[demkd 590]

Нехорошая тенденция...

Вообще да, странно почему-то в логе нет строки что файл защищен и информации был ли получен к нему доступ, как c тем же sptd.sys

пожалуй в след. версии включу вывод ошибок в лог, посмотрим что вернется на нем, хорошо бы конечно самого руткитика получить и потестить, чего он там могет.

[arraga 2]

Всем привет, пару лет назад в проге была папка Zoo и можно было отправлять вирусы на изучение. Куда эта папка пропала в новых версиях? Прежде чем задавать этот вопрос, я перечитал все документы в папке Doc, но там всё по-старому.. Куда Zoo девали?

[Аркалык 19]

Всем привет, пару лет назад в проге была папка Zoo и можно было отправлять вирусы на изучение. Куда эта папка пропала в новых версиях? Прежде чем задавать этот вопрос, я перечитал все документы в папке Doc, но там всё по-старому.. Куда Zoo девали?

А он никуда и не пропал. Добавляйте команду zoo (Поместить копию файла в Zoo) -> копия файла скопируется в папку Zoo в каталоге uVS; Добавляйте команду czoo(Архивировать Zoo) -> все добавленные файлы в папку zoo помещается в архив с именем Zoo_год_месяц_день.rar/zip. Пароль архива вставляется по умолчанию virus.

[alamor 69]

Прежде чем задавать этот вопрос, я перечитал все документы в папке Doc, но там всё по-старому.. Куда Zoo девали?

Плохо читали

 3.75---------------------------------------------------------o Изменено имя архива Zoo (добавлен префикс ZOO_)

[arraga 2]

Аркалык, спасибо, раньше вроде было - когда "удалить файл вместе с ссылками" - он автоматически помещался в зоо.. И еще - слышал, сейчас есть возможность сравнивать 2 образа автозапуска - с активной и неактивной оси.. Ссылку почитать подробнее есть? А то в мануале об этом ничего нет..

[demkd 590]

arraga

1. Флаг bAutoZooOnDelAll описан в FAQ-е.

2. на оф. сайте есть утилита cmpimg для сравнения образов, параметры полные пути до образов.

[PR55.RP55 82]

Удалось установить - что это за зверюка.

Это: модификация Win32/Neurevt.A ( ESET )

[PR55.RP55 82]

Подробно:

http://translate.google.ru/translate?hl=ru...lla:ru:official

[грум 0]

demkd что все-таки по моему вопросу? Серьезная проблема?

http://www.anti-malware.ru/forum/index.php...st&p=175667

[demkd 590]

грум

потестить надо

хотя вот сразу - загрузчик может лежать на каком попало диске не обязательно на системном, только это уже затрудняет его добавку в известные, поэтому пока оставим как есть.

[PR55.RP55 82]

Demkd

Rat Поймали !

http://rghost.ru/

52552011

от Arkalik

[demkd 590]

PR55.RP55

посмотрю, в безопасном режиме вытащали

только вот эта строчка в логе мне не нравится, особенно в безопасном режиме:

(!) Не удалось прочитать BOOT сектор диска , возможно в системе активен руткит!

[santy 151]

demkd,

(!) Не удалось прочитать BOOT сектор диска , возможно в системе активен руткит!

юзер пишет что использует шифрование или диска или раздела

[PR55.RP55 82]

Dosya isimleri rzsbkotiu.exe

beta (1).exe

Bot_Neurevt61.exe

https://www.virustotal.com/tr/file/5e54b7e6...a1247/analysis/

----------

https://www.virustotal.com/tr/file/5f7a773b...e2159/analysis/

bbnlmyqqs.exe

skskjbpjx.exe

rzsbkotiu.exe

big.exe

--------------

Как - то так ещё...

Может чего доп. подгружает.