Перейти к содержанию

Recommended Posts

santy

demkd,

что это может быть?

куча процессов calc*32.exe с цифровой от микрософт, некоторые проявляют сетевую активность.

в образе конечно есть и реальные трояны.

ADMIN-PC_2016-07-12_22-12-36.7z

ADMIN-PC_2016-07-12_22-12-36.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@santy, скорее всего в процесс внедрен поток, который и занимается полезной деятельностью, довольно старый прием.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
arraga

demkd , на первой странице этой темы ФАК полностью нерабочий - ссылки никуда не ведут..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@arraga, спасибо, исправил, ид топика сменился

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

 

у simplix-а автора AntiSMS есть форма для передачи подозрительных и чистых файлов: https://antisms.com/#send

 

simplix составляет свой список: чёрных ЭЦП

 

и многие операторы работают в связке uVS + AntiSMS - Live CD

 

Думаю от сотрудничества все выиграют.

 

Можно ли добавить соответствующее меню в uVS  ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
arraga

Хм, с полгода назад я задавал вопрос о том, что версия 385 работает значительно медленнее чем 382, тогда мне ответили что скорости ждать не стОит и в новых версиях она не увеличится. Это было печально. Однако сейчас скачал 387 версию - скорость сканирования сравнима с 382, если не выше. Это очень радует))

 

P.S. Оказывается, год прошел с того поста)) Время как быстро пролетает)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@arraga, uVS со временем быстрее работать точно не стал, что-то просто изменилось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

 

у simplix-а автора AntiSMS есть форма для передачи подозрительных и чистых файлов: https://antisms.com/#send

 

simplix составляет свой список: чёрных ЭЦП

 

и многие операторы работают в связке uVS + AntiSMS - Live CD

 

Думаю от сотрудничества все выиграют.

 

Можно ли добавить соответствующее меню в uVS  ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

а смысл какой копировать это в uVS?

чистые ты можешь занести в свою базу SHA1, по подозрительным (если они взяты из образа uVS)  добавить критерии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@PR55.RP55, смысла нет, я все равно не буду разбирать этот хлам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

 

А, что если добавить возможность интеграции uVS в средство восстановления системы ?

по этому принципу: https://forum.simplix.ks.ua/viewtopic.php?id=562

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гризлик

Всем привет!

Есть вопросик. В Задачах есть такая надпись (см скрины). При удалении в скрипт ставится команда

delref EXPLORER.EXE HTTP://KB-RIBAKI.ORG

. Соответсвено удаляется сама запись в реестре, но файл задачи остается на месте. (В даном случае ANDREY.job)

 

А вопрос следующий. Почему в UVS в Списке задач не отображается сам файл задачи? Чтобы можно было по нему кликнуть и выбрать: Удалить файл со всеми сылками либо Удалить файл. Приходится ручную писать.

Или я что-то не понимаю?

Спасибо!

1.JPG

2.JPG

post-15914-0-49390300-1470337194_thumb.jpg

post-15914-0-21059300-1470337201_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

. Соответсвено удаляется сама запись в реестре, но файл задачи остается на месте. (В даном случае ANDREY.job)

В данном случае имя файла ANDREY без расширения. И uVS должен был его удалить.

А с .job это очевидно другое задание, которое вообще не отображается в образе, так как оно всё равно не работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Гризлик

 

http://www.anti-malware.ru/forum/index.php?showtopic=19126&page=116#entry188434

 

Если мне, что то не ясно, как я поступаю...

Создаётся временный критерий с именем: 111111111 в данном случае для: RIBAKI

т.е.  ищем все записи в образе по: RIBAKI

 

Получаем: _6 результатов. ( по первому образу )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гризлик

Упс.. 

Оказывается эта тема в соседнем топике поднята. Извиняйте..

И uVS должен был его удалить.

 

delref - не может удалить файл.  У этой команды немного другая функция. Или я не прав?

 

@PR55.RP55, Ну то что он через задачу запускается это ясно.  Я про то, что чтобы эту задачу удалить приходится вручную команду в скрипт вносить, т.к. автоматом UVS это делать не дает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

delref - не может удалить файл.  У этой команды немного другая функция. Или я не прав?

delref - удаляет ссылки на файл. А если ссылкой является ярлык или задание, то должно удалить их.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

возможно уже задавал вопрос, не помню.

какое действие должно выполниться по кнопке "добавить в базу"?

(ага, подсказка все такие есть - добавить в базу сигнатуры файлов).

 

вроде выбирается в диалоге исполняемые файлы, но дальше пусто. предполагаю, что должна добавиться сигнатура,

но имя сигнатуры не запрашивается, в списке сигнатур ничего нет похожего на имя файла,

если сигнатура уже есть или не может быть извлечена, тогда хотя бы сообщение в логи - что данная сигнатура уже извлечена (или не может быть извлечена из данного файла).

 

функция полезная, но как ее использовать - непонятно,

если отключена, тогда непонятно, зачем эта кнопка в интерфейсе программы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@santy, да, поломалось походу, посмотрю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

посмотри еще режим просмотра списка известных.

там фильтрация почему то работает только по наименованию файла.

переключаю сортировку по каталогу, и все равно фильтрация работает по наименованию файла.

+

вопрос по списку известных:

   km*    - списки известных модулей для соотв. OS
            (в открытом виде UTF8, km*.x64 для x64 систем)

 

есть режим добавления исполняемых файлов каталога в список известных.

в uVS один список используется, или как SHA1 несколько: один от разработчика ведется, другой от пользователя программы?

 

вроде добавил в список известных исполняемые из известного каталога, и они появились в списке (и в логи uvs показал, что добавлено 22файла), но не вижу, что модифицирован km61.x64 (Win7x64), т.е. дата изменения файла осталась прежней.

+

имхо, по "ZOO локальный" надо какое то свое контекстное меню применить, хотя и редко им пользуюсь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

upd: вижу, что файл изменился, надо было просто закрыть uVS или открыть образ автозапуска.

 

но тогда вопрос:  а инкрементное обновление файлов от разработчика не затирает в данном случае, то что было добавлено в известные со стороны пользователя?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@santy, посмотрю и да, затирает, тут или мой список или свой

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

 

http://www.anti-malware.ru/forum/index.php?showtopic=19126&page=119#entry188762

 

В новой версии косяк с некоторыми критериями.

P.S. всё таки нужно на сообщения как-то реагировать.

А то я не знаю, было ли сообщение прочитано, или нет.

Всегда хотя бы одно слово писать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

 

Компания Яндекс активно продвигает свой браузер.

Его всё чаще устанавливают.

uVS  браузер от Яндекса = его расширения не поддерживает...

А левые расширения для него начали появляться.

Думаю вопрос очевиден.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Невозможно добавить файлы каталога в Zoo ( при работе с образом ) если файл отсутствует. Пример: Полное имя                  C:\WINDOWS\REGPOLICY\ATICONTO.EXE
      Имя файла                   ATICONTO.EXE
      Тек. статус                 в автозапуске
                                  
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
      Инф. о файле                Не удается найти указанный файл.
      Цифр. подпись               проверка не производилась
                                  
      Ссылки на объект            
      Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\aticonto
      aticonto                    C:\Windows\RegPolicy\aticonto.exe
      ------- т.е. в каталоге есть файлы;  нужно получить их копию. но из контекстного меню невозможно отдать команду:  dirzoo %SystemRoot%\REGPOLICY т.е. отдать то можно - но сама команда в скрипт не прописывается... https://forum.esetnod32.ru/forum3/topic16634/ ---------- + Стоит автоматически добавлять все исполняемые файлы: C:\WINDOWS\REGPOLICY\ в список.  
    • Vadisha_juirm
      Нам нужны адекватные и ответственные парни и девушки для выполнения не сложной, но хорошо оплачиваемой работы. Опыт и образование не требуется.
      Заинтересованы в хорошем заработке? Прошу в телеграм @karabeitm
    • Manuelusema
      Есть нелегальная, но очень доходная работа.
      Если интересно, пишите в telegram @karabeitm
    • MashikTibly
      Нужна работа? Высокий доход! Пиши сюда https://vk.cc/c8cIoF или в телеграм @karabeitm
    • DavdidDuh
      Довольно привлекательные девахи на видео - Порно - большие попки
×