Universal Virus Sniffer (uVS), Вопросы разработчику

[alamor 69]

demkd так что там с Байду?

Напомню при применение команды deldir файлы Baidu частично удаляются, а часть файлов (те у которых есть цифровая пидпись) остаются. Я предположил, что это происходит из-за защиты uVS от удаления проверенных файлов. Если я правильно понял пост от santy, то он также считает, что команда deldir не отрабатывает из-за того, что эти файлы с валидной цифровой подписью.

[demkd 590]

alamor

если активен то нужно сперва его выгрузить, иначе он скорее всего защищает свои файлы, deldir удаляет файлы и ссылки на них если они есть, но не выгружает процессы/драйвера и т.п.

[santy 151]

alamor,

Если я правильно понял пост от santy, то он также считает, что команда deldir не отрабатывает из-за того, что эти файлы с валидной цифровой подписью.

неправильно понял.

во первых, у байду с цифровой подписью практически все файлы: dll, exe, sys

по крайней мере из тех образов, что есть у меня. пример во вложении.

_________2014_11_18_22_57_58.7z

во вторых, файлы наверняка защищены от удаления с помощью hips

BAIDUHIPS.EXE

значит не так просто их вынести из системы, пока байду активен.

в третьих, есть масса примеров, когда uVS выносит на ура файлы с помощью deldir или deldirex, тот же BrowseFox с левой цифровой,

в четвертых, по ссылке приведен скрипт с применением deldirex, который удаляет тот же байду, с цифровой, только уже неактивный.

т.е. наличие цифровой не может ограничивать uVS в удалении файлов. (если только они не являются системными и известными)

_________2014_11_18_22_57_58.7z

[alamor 69]

alamor

если активен то нужно сперва его выгрузить, иначе он скорее всего защищает свои файлы, deldir удаляет файлы и ссылки на них если они есть, но не выгружает процессы/драйвера и т.п.

demkd,

Если предварительно выгрузить все модули командой Unload, либо применить команду Delall, то uVS должен будет нормально отработать? И может добавить этот функционал в deldir? Если применили эту команду, значит хотят удалить всё в этой папке независимо есть запущенные процессы из этой папки или нет.

[demkd 590]

alamor

deldir для финальной зачистки, а не для уничтожения активной заразы, для ее уничтожения есть и сигнатуры и delall, городить еще и туда такой функционал я смысла не вижу.

[arraga 2]

Всем привет, хочу спросить про восстановление отсутствующих системных - известных - файлов.

Цитата: Подкаталог: STORE

Файлы должны лежать в подкаталогах с именами NTVv (где V = версия NT до точки, v после точки)

Кто на ком стоял?))

Я правильно понял, что в папке с Uvs надо создать папку STORE, а в ней например 2 папки NT86 и NT64, в которые надо загрузить в свою очередь системные файлы винды соответствующих архитектур? Ни хрена не работает( Например, для проверки удалил gpedit.msc - не восстановил.. Учитывая, что пошла миниэпидемия зловредов, уничтожающих системные файлы, эта функция Uvs мне очень нужна. Но я не понимаю, как ей пользоваться.

[alamor 69]

arraga, скачайте store http://dfiles.ru/folders/A5PK4YRKA и посмотрите, как правильно.

[arraga 2]

arraga, скачайте store http://dfiles.ru/folders/A5PK4YRKA и посмотрите, как правильно.

Скачал; вопросов стало больше. Часто встречается ситуация - зловред портит политики, блокирует все оснастки.. Потом удаляет gpedit.msc и mmc.exe. В твиках Uvs есть "сбросить политики" - но в данном случае не срабатывает. И вышеназванных файлов в store нет. Их можно самому добавить?

[demkd 590]

arraga

добавить можно запустив uVS на чистой системе в контекстном меню файла будет пункт - поместить копию в STORE.

[arraga 2]

arraga

добавить можно запустив uVS на чистой системе в контекстном меню файла будет пункт - поместить копию в STORE.

Как таким способом добавить, к примеру msconfig.exe или msiexec.exe? И еще - будут ли они детектироваться при выполнении "восстановить все отсутствующие..."?

[demkd 590]

arraga

найти в списке и через контекстное меню добавить, если они помечены как известные то будут для той системы для которой были добавлены.

[arraga 2]

arraga

найти в списке и через контекстное меню добавить, если они помечены как известные то будут для той системы для которой были добавлены.

Как таким способом добавить, к примеру msconfig.exe или msiexec.exe? В каком они "списке"? Я лучше буду выглядеть тупым, но хочу в этом разобраться.

[demkd 590]

arraga

запустить uVS, выбрать категорию "все" найти нужный файл, щелкнуть пкм, найти соотв. пункт меню все.

[arraga 2]

arraga

запустить uVS, выбрать категорию "все" найти нужный файл, щелкнуть пкм, найти соотв. пункт меню все.

Спасибо, понял; я просто "все" не видел, хотя пользуюсь Uvs года 3.. Протупил.

Вопрос всем. За последнюю неделю 3 раза попадались компы, где среди прочей заразы Block and surf - хрень, которая показывает рекламу во всех браузерах. Сброс IE в дефолт не помогает, Uvs в "подозрительных" - очистил всё, хрень не пропала. Переустановка браузеров не помогает. Вывод - скорее всего подгружает какую-то dll в explorer.. Сижу читаю форумы по теме "block and surf удалить" - пока конкретного ничего не нашел.. Я решил вопрос (с костылями и неполностью) так - прописал DNS 77.88.8.7 и поставил во все браузеры adblock +.. Картинки исчезли, но всё равно белые квадраты баннеров с надписью Block and surf. Через Uvs перерыл все подозрительные категории - службы, планировщик, не говоря уж обо всём автозапуске.. Пусто. По крайней мере я ничего не увидел. Я уж подумал, что редкий случай - зараженный роутер - но подключил свой бук - там заразы нет. Кто решил вопрос с этой заразой с помощью Uvs - есть такие??

[santy 151]

arraga,

обычно мы практикуем вместе с рассказом еще и добавление образа автозапуска, снятого с проблемной машины. (или ссылку на тему форума, если это решается где то на форуме). тогда обсуждение получается более предметное

[arraga 2]

arraga,

обычно мы практикуем вместе с рассказом еще и добавление образа автозапуска, снятого с проблемной машины. (или ссылку на тему форума, если это решается где то на форуме). тогда обсуждение получается более предметное

Я просто задал ОБЩИЙ вопрос про Block and surf.. Где он гнездится - в автозапуске, в службах?? Вроде везде пусто.. Не надо меня тыкать носом, как щенка. Если удаляли эту заразу, подскажите - только и всего.

З.Ы. Если я буду делать образы автозапуска, время на работу не останется)) Другое дело вечером - пришел домой, сижу пиво пью за компом, вопросы разные задаю))))

[PR55.RP55 82]

arraga

Вы видимо не знакомы с брендом: "Вежливые Люди " ?

Для тех кто на танкоопасном направлении:

1) Смотрим установленные программы.

Есть разные вариации пример:

C:\Program Files\blockandsurf

C:\Program Files\ver3blockandsurf\blockandsurf.exe

C:\Program Files\ver5blockandsurf\blockandsurf.exe

---------------

2) Смотрим дополнения браузера.

Internet Explorer BHOs

169.dll is installed in Internet Explorer as a BHO (Browser Helper Object) under the name 'BlockAndSurf' with the class of

{CA5CE9E5-CE9E-8A6C-DEB5-0619EE0385D3}.

---------------

Можно ещё это почитать: http://pchelpforum.ru/f26/t141222/2/#post1229239

[arraga 2]

arraga

Вы видимо не знакомы с брендом: "Вежливые Люди " ?

Для тех кто на танкоопасном направлении:

1) Смотрим установленные программы.

Есть разные вариации пример:

C:\Program Files\blockandsurf

C:\Program Files\ver3blockandsurf\blockandsurf.exe

C:\Program Files\ver5blockandsurf\blockandsurf.exe

---------------

2) Смотрим дополнения браузера.

Internet Explorer BHOs

169.dll is installed in Internet Explorer as a BHO (Browser Helper Object) under the name 'BlockAndSurf' with the class of

{CA5CE9E5-CE9E-8A6C-DEB5-0619EE0385D3}.

---------------

Можно ещё это почитать: http://pchelpforum.ru/f26/t141222/2/#post1229239

Я не в танке, и вполне вежлив (будьте и вы). Всё, что вы написали, к сожалению, я знал много лет назад - по поводу установленных программ, расширений браузеров и т.д. и т.п. Я задал вполне конкретный вопрос - кто-нибудь из присутствующих удалял Block and surf? И если да, то как? Очевидно, что все простые пути я испробовал, перед тем как спросить. Потому что ваше время я уважаю.

Вот например сегодняшний случай. Да, была папка C:\Program Files\ver3blockandsurf. Я удалил с помощью geek. Но всё равно, как написал - "Картинки исчезли, но всё равно белые квадраты баннеров с надписью Block and surf." Дополнения в браузерах полностью удалил. Если бы вопрос решался стандартно - еще раз обращаю внимание - я не стал бы сюда писать. Возьмите для примера Baidu - китайскую хрень. Полгода назад её можно было удалить через стандартную оснастку Windows. А сейчас - только с неактивной ОС с помощью Uvs. Зловреды мутируют - вы разве не знали? Поэтому в который раз задаю вопрос - есть тут люди, которые НЕДАВНО удалили Block and surf с помощью Uvs и если да - как вы это сделали?

[santy 151]

arraga, не надо заранее становиться в позу обиженного, когда еще и намека нет на "обидеть".

по поводу байду вы неправы, его можно удалить из активной системы с помощью uVS, но за два приема.

по поводу b&s скорее всего достаточно будет очистки в uVS+ возможно удаление групповой политики, скан в мбам, AdwCleaner, проверка расширений браузеров.

но нужен конкретный пример, лучше образ с проблемой, потому что у нас эти темы мелькают перед глазами под заголовками

"достала неудаляемая(неубиваемая) реклама", как правило все удаляем, но не зацикливаемся особенно на том, что это было:

b&s, bettersurf, media player, search&bing или другое.

новых тем с b&s сейчас нет на форумах, наиболее часто встречается baidu, различная реклама, шифрование, прочая мелочь, которая не заслуживает обсуждения.

[arraga 2]

arraga, не надо заранее становиться в позу обиженного, когда еще и намека нет на "обидеть".

Это к чему вообще было написано? В позу обиженного я сам могу поставить, если что.

новых тем с b&s сейчас нет на форумах

Так я ж и говорю - лично у меня 3 случая за неделю. Это форум, на нём тема. Или я неправ?

[santy 151]

1. это написано по поводу вашей рефлексии

Не надо меня тыкать носом, как щенка.

2. это не форум лечения активных заражений как ВирусИнфо например, или pchelpforum.ru, здесь нет такого количества тем с проблемами юзеров

обычно мы приходим к разработчику с проблемами, которые не решаются по разным причинам, но не с пустыми руками (или разговорами), а с логами, снятыми с проблемных машин.

[alamor 69]

+ возможно удаление групповой политики, скан в мбам, AdwCleaner, проверка расширений браузеров.

santy я так понял задача стоит справиться силами только uVS

есть тут люди, которые НЕДАВНО удалили Block and surf с помощью Uvs и если да - как вы это сделали?

Если задача стоит просто быстро удалить, а не обязательно с помощью uVS, то можно использовать AdwCleaner. Недавно использовал его для удаления Block and surf. Он его полностью отлично вычистил, никаких дополнительных манипуляций не понадобилось.

[arraga 2]

Решил проверить на виртуалке. Скачал отсюда http://block-n-surf.com/, поставил. И хотя вирустотал показывает 25/55 - удалилась полностью через встроенный анинстал. Может, оно виртуалку палит? В следующий раз, как попадётся, сделаю через Uvs образ автозапуска и к вам за советом..

[zzkk 130]

Подскажите, пожалуйста. После запуска программы выдаются сообщения о неизвестных загрузчиках.

Какие должны быть следующие действия?

Меню Руткиты :: Заменить загрузчик :: кнопка Записать?

Или что-то посложнее?

Бывает ли так, что загрузчик программе неизвестен, но на самом деле не заражен ничем (предполагаю, что машина чистая)?

[mike 1 57]

Какие должны быть следующие действия?

Как вариант проверить этот загрузчик на VT.

Бывает ли так, что загрузчик программе неизвестен

Бывает.