Перейти к содержанию

Recommended Posts

santy

demkd,

что это может быть?

куча процессов calc*32.exe с цифровой от микрософт, некоторые проявляют сетевую активность.

в образе конечно есть и реальные трояны.

ADMIN-PC_2016-07-12_22-12-36.7z

ADMIN-PC_2016-07-12_22-12-36.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@santy, скорее всего в процесс внедрен поток, который и занимается полезной деятельностью, довольно старый прием.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
arraga

demkd , на первой странице этой темы ФАК полностью нерабочий - ссылки никуда не ведут..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@arraga, спасибо, исправил, ид топика сменился

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

 

у simplix-а автора AntiSMS есть форма для передачи подозрительных и чистых файлов: https://antisms.com/#send

 

simplix составляет свой список: чёрных ЭЦП

 

и многие операторы работают в связке uVS + AntiSMS - Live CD

 

Думаю от сотрудничества все выиграют.

 

Можно ли добавить соответствующее меню в uVS  ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
arraga

Хм, с полгода назад я задавал вопрос о том, что версия 385 работает значительно медленнее чем 382, тогда мне ответили что скорости ждать не стОит и в новых версиях она не увеличится. Это было печально. Однако сейчас скачал 387 версию - скорость сканирования сравнима с 382, если не выше. Это очень радует))

 

P.S. Оказывается, год прошел с того поста)) Время как быстро пролетает)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@arraga, uVS со временем быстрее работать точно не стал, что-то просто изменилось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

 

у simplix-а автора AntiSMS есть форма для передачи подозрительных и чистых файлов: https://antisms.com/#send

 

simplix составляет свой список: чёрных ЭЦП

 

и многие операторы работают в связке uVS + AntiSMS - Live CD

 

Думаю от сотрудничества все выиграют.

 

Можно ли добавить соответствующее меню в uVS  ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

а смысл какой копировать это в uVS?

чистые ты можешь занести в свою базу SHA1, по подозрительным (если они взяты из образа uVS)  добавить критерии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@PR55.RP55, смысла нет, я все равно не буду разбирать этот хлам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

 

А, что если добавить возможность интеграции uVS в средство восстановления системы ?

по этому принципу: https://forum.simplix.ks.ua/viewtopic.php?id=562

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гризлик

Всем привет!

Есть вопросик. В Задачах есть такая надпись (см скрины). При удалении в скрипт ставится команда

delref EXPLORER.EXE HTTP://KB-RIBAKI.ORG

. Соответсвено удаляется сама запись в реестре, но файл задачи остается на месте. (В даном случае ANDREY.job)

 

А вопрос следующий. Почему в UVS в Списке задач не отображается сам файл задачи? Чтобы можно было по нему кликнуть и выбрать: Удалить файл со всеми сылками либо Удалить файл. Приходится ручную писать.

Или я что-то не понимаю?

Спасибо!

1.JPG

2.JPG

post-15914-0-49390300-1470337194_thumb.jpg

post-15914-0-21059300-1470337201_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

. Соответсвено удаляется сама запись в реестре, но файл задачи остается на месте. (В даном случае ANDREY.job)

В данном случае имя файла ANDREY без расширения. И uVS должен был его удалить.

А с .job это очевидно другое задание, которое вообще не отображается в образе, так как оно всё равно не работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Гризлик

 

http://www.anti-malware.ru/forum/index.php?showtopic=19126&page=116#entry188434

 

Если мне, что то не ясно, как я поступаю...

Создаётся временный критерий с именем: 111111111 в данном случае для: RIBAKI

т.е.  ищем все записи в образе по: RIBAKI

 

Получаем: _6 результатов. ( по первому образу )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гризлик

Упс.. 

Оказывается эта тема в соседнем топике поднята. Извиняйте..

И uVS должен был его удалить.

 

delref - не может удалить файл.  У этой команды немного другая функция. Или я не прав?

 

@PR55.RP55, Ну то что он через задачу запускается это ясно.  Я про то, что чтобы эту задачу удалить приходится вручную команду в скрипт вносить, т.к. автоматом UVS это делать не дает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

delref - не может удалить файл.  У этой команды немного другая функция. Или я не прав?

delref - удаляет ссылки на файл. А если ссылкой является ярлык или задание, то должно удалить их.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

возможно уже задавал вопрос, не помню.

какое действие должно выполниться по кнопке "добавить в базу"?

(ага, подсказка все такие есть - добавить в базу сигнатуры файлов).

 

вроде выбирается в диалоге исполняемые файлы, но дальше пусто. предполагаю, что должна добавиться сигнатура,

но имя сигнатуры не запрашивается, в списке сигнатур ничего нет похожего на имя файла,

если сигнатура уже есть или не может быть извлечена, тогда хотя бы сообщение в логи - что данная сигнатура уже извлечена (или не может быть извлечена из данного файла).

 

функция полезная, но как ее использовать - непонятно,

если отключена, тогда непонятно, зачем эта кнопка в интерфейсе программы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@santy, да, поломалось походу, посмотрю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

посмотри еще режим просмотра списка известных.

там фильтрация почему то работает только по наименованию файла.

переключаю сортировку по каталогу, и все равно фильтрация работает по наименованию файла.

+

вопрос по списку известных:

   km*    - списки известных модулей для соотв. OS
            (в открытом виде UTF8, km*.x64 для x64 систем)

 

есть режим добавления исполняемых файлов каталога в список известных.

в uVS один список используется, или как SHA1 несколько: один от разработчика ведется, другой от пользователя программы?

 

вроде добавил в список известных исполняемые из известного каталога, и они появились в списке (и в логи uvs показал, что добавлено 22файла), но не вижу, что модифицирован km61.x64 (Win7x64), т.е. дата изменения файла осталась прежней.

+

имхо, по "ZOO локальный" надо какое то свое контекстное меню применить, хотя и редко им пользуюсь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

upd: вижу, что файл изменился, надо было просто закрыть uVS или открыть образ автозапуска.

 

но тогда вопрос:  а инкрементное обновление файлов от разработчика не затирает в данном случае, то что было добавлено в известные со стороны пользователя?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@santy, посмотрю и да, затирает, тут или мой список или свой

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

 

http://www.anti-malware.ru/forum/index.php?showtopic=19126&page=119#entry188762

 

В новой версии косяк с некоторыми критериями.

P.S. всё таки нужно на сообщения как-то реагировать.

А то я не знаю, было ли сообщение прочитано, или нет.

Всегда хотя бы одно слово писать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

 

Компания Яндекс активно продвигает свой браузер.

Его всё чаще устанавливают.

uVS  браузер от Яндекса = его расширения не поддерживает...

А левые расширения для него начали появляться.

Думаю вопрос очевиден.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
    • santy
      1. уточни, о каком функционале по ИНФО идет речь. одно дело фильтрующий поиск, т.е. список объектов фильтруется (сейчас) по определенному полю, и поиск выполняется сразу после введения одного символа, далее, уже по двум добавленным символам. и т.д. запрос же выполняется после введения некоторого значения. (не единственного символа.) запросов в таком виде сейчас нет, они могли бы быть, если будет реализована функция фильтрации по единственному критерию. (т.е. в этом случае мы получаем результат не по всем критериям, а по одному из списка) ----- здесь не факт, что фильтрующий поиск будет работать настолько быстро при проверке введенного символа по всем полям. 2. приведи примеры, когда введенное значение имеет смысл фильтровать по всем полям ИНФО. скажем если мы ищем имя файла, то нет смысла его искать в качестве вхождения в другие поля, аналогично и имя каталога, и имя производителя, и цифровой подписи, хэшей. и т.д. т.о. может получиться, что мы только увеличим время обновления зафильтрованного списка, и не получив ожидаемого лучшего результата.
×