Перейти к содержанию

Recommended Posts

Sergey Dindikov

demkd

инет вроде норм проблем не испытываю вообще.

проблемы с закачкой (через твой апдейтер) такие иногда наблюдал и ранее, но не жаловался...

а сейчас вот накипело =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

demkd

UVS3.83

Прога autohotkey при установке создала ярлык.

если смотреть его св-ва, видим ссылку на левый файл:

http://screencast.com/t/tsZoJOwzBUT3

видимо потому что файл AutoHotkey Website.url

юникодный, а твоя прога не понимает такой формат?

http://screencast.com/t/oynuZubTHG

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Sergey Dindikov

да, отображение utf16/utf8 файлов пока не поддерживается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
arraga

Всем привет, может не в ту ветку пишу, просьба не ругаться - укажите куда надо. Использую софт третий год, на сотнях компов удалил вирусы. Похожая трабла была года два назад - не помню как решил. А тут два случая за два дня.. Вирус - как я предполагаю - прописывается в памяти. А потом заражает все исполняемые файлы. Т.е. в моём случае я оба раза загружался с WinPe, запускал uvs - start.exe, на долю секунды мелькало сообщение что-то типа насчет обращения к памяти по адресу 0х000000, потом при попытке запустить UVs он запускался, но всё время выдавал сообщение, что start.exe заражен неизвестным вирусом.

Вопрос-то собсно в чем - я этого зверька отловил, есть он у меня.. И второе - он я так понял гнездится в памяти (просто другого ничего предположить не могу), соотв если это ПК, вопрос можно решить, вытащив на пару минут планки памяти. А если это будет бук, что делать?? Есть буки, в которых чтобы добраться до памяти, весь девайс надо разобрать.. Короче, слегка в шоке.. Что посоветуете?

То есть еще раз - этот новый зловред при выключении зараженной машины остаётся в оперативке, при включении и загрузке с портативной ОС типа WinPE (правда вот с линуксообразых осей не пробовал, да и статистики нет) заражает все пытающиеся запуститься файлы..

218661384f21.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

arraga

для начала не стоит трогать память :) ничего в ней не остается, что бы вылечить эту гадость нужно иметь чистый загрузочный диск и например dr.web cureit

пытаться лечтиь файловый вирус в зараженной ситеме дело тяжелое и часто безрезультатное.

второе не нужно никогда постить ссылки на зловредов - это запрещено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
arraga
arraga

для начала не стоит трогать память :) ничего в ней не остается, что бы вылечить эту гадость нужно иметь чистый загрузочный диск и например dr.web cureit

пытаться лечтиь файловый вирус в зараженной ситеме дело тяжелое и часто безрезультатное.

второе не нужно никогда постить ссылки на зловредов - это запрещено.

Такое ощущение, что мой пост вообще не читали.. Я загружался с внешнего жесткого диска, в вашей терминологии "чистый загрузочный диск", который до этого использовал сотни раз. Зловреда выложил заархивированным, для специалистов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

arraga

внешний жесткий диск может быть чистым только в одном случае, если на нем защита от записи или как минимум это диск никогда не подключается к потенциально опасной машине, а используется только для загрузки, впрочем и это не гарантирует его чистоту на 100% в случае boot вирусов и однократной ошибки при выборе винта для загрузки, теперь диск надо лечить опять же в чистой системе. Поскольку его явно подключали к системе с активным файловым вирусом то заметная часть исполняемых файлов уже заражена, соотв. загрузка с него бесполезна, хотя cureit наверняка сможет забороть и активное заражение, пусть и не без последствий, но последствия по отзывам не фатальные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

demkd, есть чувство, что arraga - тролль, начитавшийся баша.

arraga - грузились-то с LiveCD, а UVS откуда запускали, с HDD? Тогда он уже заражён был.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
arraga
demkd, есть чувство, что arraga - тролль, начитавшийся баша.

arraga - грузились-то с LiveCD, а UVS откуда запускали, с HDD? Тогда он уже заражён был.

На оскорбления отвечать не буду - мне всё равно. По теме - есть рабочий HDD с WinPe - там есть и Uvs.. Вчера был случай с заражением этого диска; восстановил из бэкапа.. сегодня был второй аналогичный случай.. бэкап ессно проверен был парой антивирусов. Хотел инфу новую вам дать, дальше смотрите сами.

..его явно подключали к системе с активным файловым вирусом..

В том-то и дело, что НЕ подключали. Зараженная ОС в момент подключения была неактивна, читайте внимательней.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg
Зараженная ОС в момент подключения была неактивна

Если диск был доступен в заражённой системе - файловый вирус мог заразить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
arraga

HDD у меня загрузочный, если кто не понял. Я его НЕ подключал к активной зараженной ОС. Сначала просто включал комп, видел вирусную активность, ребут, в бут меню выбирал свой ОДНОЗНАЧНО чистый от вирусов хард - и он заражался при попытке запуска UVS. Такое было 2 раза - вчера и сегодня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

Ещё раз. Диск был подключен к компьютеру, значит, он не мог быть однозначно чистым. Чудес не бывает, файловый вирус, семейства expiro в Вашем случае, штука зловредная, могли заразить файлы на этом диске раньше и не заметить.

Рецепт борьбы давно известен - грузиться с заведомо чистого диска/флэшки, созданном на другом, незаражённом компьютере, и чистить с помощью CureIt! или KVRT все закоулки диска, все сменные носители, включая фотоаппараты, плейеры, телефоны - всё, что подключается как сменный диск.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Автозапуск на Live CD включен.

Expiro запускается на исполнение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
arraga

Интересно получается. Вы отрицаете существование вирусов, остающихся (некоторое время) в оперативной памяти после выключения компьютера? Если да, то мне больше нечего сказать. Если нет, идём дальше. У меня в течении двух дней подряд были случаи заражения внешнего жесткого диска, подключаемого к двум разным компьютерам. Этот диск я использую на протяжении последних лет для своих эникейских целей. Я эникейщик со стажем. После первого заражения я полностью отформатировал винт с затиранием. Восстановил всю инфу из бэкапа. Вирусов не было в бэкапе. Поехал на другой день к следующему клиенту. Замечу, диск я не подключал к активной ОС. Только увидев вирусную активность, я выключал комп, во время включения в бут меню выбирал свой диск (который до этого был физически отключен) - и происходило заражение во время попытки запуска UVS.

Так как ситуация нестандартная, я решил спросить совета у спецов с этого форума, в надежде, что уж разработчики UVS мне что-нибудь подскажут. Вместо этого я натолкнулся на презрительное хамство, цинизм и обвинение в компьютерной неграмотности. Выложенные (возможные) мной доказательства моей правоты (два зловреда в файлах start.exe и startf.exe) были через минуту удалены. Между тем их можно было исследовать, например запустить в вируалке, попытаться отреверсить, декомпилить и т.д.

Но вы посчитали, что всё и так очевидно. Что за снобизм? Вы что, априори правы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Вы отрицаете существование вирусов, остающихся (некоторое время) в оперативной памяти после выключения компьютера?

вот при перезагрузке в памяти много чего остается и то если не резетом и даже если бы память была энергонезависима и там что-то осталось "после выключения компьютера" это что-то само не активируется никак - это бред :) единственный вывод (при условии что образ диска точно чистый и точно делался на чистой машине) - небрежное обращение с диском либо не выполнены условие в скобках, чудес не бывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sandor

Здравствуйте!

Есть ли возможность в uVS прописать настройки прокси? Сам не нашел, а актуально.

Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Sandor

uVS использует проксю MSIE, поскольку использует его api, соотв. прописывать проксю нужно в настройках IE.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sandor

demkd

Понятно. У меня проблема в том, что запускается uVS от имени локального админа, не имеющего выход в интернет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Sandor

А почему нельзя прописать проксю для локального админа?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
arraga
..это бред ...

Ну-ну

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sandor
Sandor

А почему нельзя прописать проксю для локального админа?

Можно. Но на нее еще и авторизация требуется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Образ: http://rghost.ru/58066424

см. фото.

5255.jpg

post-8956-1410965845_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

PR55.RP55

именно так, ссылки пишутся http://, а не http:\\ так что тут все верно "\\" - это разделитель пути, если же делать попытки детекта и отсева кривых ссылок до этапа разбиения пути то это заметно замедлит и без того не быстрый процесс формирования списка, а оно надо? да и что собственно напрягает, mail.ru/cnt - это типичный каталог :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Рассылку новостей и доступ в лк починил, адрес бота перевел на qip.ru, так что проверяйте спам :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sandor

Цитата(demkd @ 16.09.2014, 17:25)

>>А почему нельзя прописать проксю для локального админа?

>Можно. Но на нее еще и авторизация требуется.

Напоминаю.

И еще вопрос:

Ключ запуска /p (автозаполение полей пользователь/пароль)

Пользователя мне нужно ввести в виде - пользователь\администратор (т.е. от имени локального администратора)

Попробовал и не получается. Все равно идет запрос от UAC.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.11.
    • PR55.RP55
    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
×