Перейти к содержанию

Recommended Posts

PR55.RP55
29 минут назад, demkd сказал:

Пока ничего не планируется изменять.

А если способ формирования сигнатур будет по выбору оператора  из 2-3 вариантов...

т.е. Оператор добавил сигнатуру по алгоритму №1 > проверил список > в итоге ложное срабатывание >

отменил команду > и добавил сигнатуру по алгоритму №2 > проверил список...

----------

Но, мне нравиться вариант с ограничением действия сигнатур по площади поражения.

т.е. надо менять площадные  Град; Ураган  на точечный  Искандер.  ;)

Здесь так: Добавили сигнатуру > проверили список > Выбрали нужную строку в которой прописан нужный путь

и скорректировали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

посмотри, плиз, по утилите CmpImg
сравнили очищенную систему, и вновь зараженную майнером.

Цитата

 

CmpImg v1.01 Copyright(c) 2011-14 D.Kuznetzoff [demkd@mail.ru]
http://dsrt.dyndns.org

Loading OLD image: SERV-1C_2017-07-11_11-28-09.TXT
Loading NEW image: SERV-1C_2017-07-12_16-34-20.TXT

Autorun: New
C:\WINDOWS\TEMP\KPROCESSHACKER.SYS
Total:1

Applications: New
DriverPack Solution Updater
Total:1

Autorun: Removed
C:\USERS\СТЕПАНЕНКО\APPDATA\ROAMING\CONSULTANTPLUS\LIB\SCONS.DLL
Total:1

Modified:
C:\PROGRAM FILES (X86)\TEAMVIEWER\OUTLOOK\TEAMVIEWERMEETINGADDINSHIM.DLL
C:\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER.EXE
C:\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER_RESOURCE_RU.DLL
C:\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER_SERVICE.EXE
C:\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER_STATICRES.DLL
C:\PROGRAM FILES (X86)\TEAMVIEWER\TV_W32.DLL
C:\PROGRAM FILES (X86)\TEAMVIEWER\TV_W32.EXE
C:\PROGRAM FILES (X86)\TEAMVIEWER\TV_X64.DLL
C:\PROGRAM FILES (X86)\TEAMVIEWER\TV_X64.EXE
C:\WINDOWS\SYSTEM32\RASAUTO.DLL
C:\WINDOWS\SYSTEM32\SACSVR.DLL
Total:11

No SHA1:

Total:1

Changed status:
C:\PROGRAM FILES\ESET\ESET FILE SECURITY\X86\EKRN.EXE
C:\WINDOWS\SYSTEM32\CONHOST.EXE
C:\WINDOWS\SYSTEM32\MMC.EXE
C:\WINDOWS\SYSTEM32\VIAKARAOKESRV.EXE
C:\WINDOWS\SYSTEM32\WUAUCLT.EXE
C:\WINDOWS\SYSWOW64\VMNETDHCP.EXE
Total:6

 

здесь не попал файлик из процессов.

(в данном случае это майнер)

C:\CONSLOCALUSERDATA\SVCHOST.EXE

оба образа отправлены в почту, поскольку превышен допустимый размер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
2 часа назад, santy сказал:

здесь не попал файлик из процессов.

а он и не должен был попасть сравнение производится лишь того что попадает в автозапуск, иначе в списке будет масса процессов которые запускаются вручную.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

логика, конечно определенная есть в том, чтобы не сравнивать процессы в старом и новом образе,

но может быть следует тогда хотя бы показать новые процессы по файлам в новом образе, которых не было в старом образе?

-------

и запускается он вобщем не вручную, а через системный svhost.exe

parentid=1000 C:\WINDOWS\SYSTEM32\SVCHOST.EXE

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

оно конечно можно, но тогда по логике придется и dll загруженные тянуть туда, а это будет каша, хотя можно какой-нибудь ключ добавить что бы сравнивалось все активное не в автозапуске

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

С анализом даты компиляции зашитой в exe ничего не вышло, слишком много системных файлов с мусором вместо валидного отпечатка.
Говорят есть еще проблема со сбросом админ пароля для Win10, но до этого руки еще не дошли.

---------------------------------------------------------
 4.0.7
---------------------------------------------------------
 o Добавлена функция автоматической загрузки реестров пользователей.
   Это устраняет проблемы со входом в рабочую станцию и переключением пользователем на удаленном компьютере.

 o Функции бэкапа и восстановления реестра теперь сохраняют хайвы "DRIVERS" и "COMPONENTS".
   Как показала практика, восстановление относительно старой копии реестра без этих хайвов может привести к _неизлечимым_ проблемам в работе системы обновлений Windows.
   Восстановление копии без этих хайвов (без риска потенциальных проблем) возможно лишь до установки обновления Windows.
   (!) Если вы используете ERUNT или аналог в Windows Vista и старше то не используйте копию реестра если с момента ее создания было установлено одно и более обновлений Windows.
   (!) В каталоге Windows\System32\config\RegBack (даже для Windows 10) не содержатся "DRIVERS" и "COMPONENTS", поэтому при восстановлении из этой копии возможны проблемы.

 o Добавлена настройка цветового выделения для файлов со статусом ?ВИРУС?

 o Функции бэкапа и восстановления реестра теперь сохраняют реестры пользователей, включая системные.
   Автоматическая перезагрузка при восстановлении реестра отключена.  
   В будущем функция бэкапа и восстановления будет выделена в отдельную утилиту.

 o Оптимизирована функция сбора информации о файле.

 o Исправлена ошибка WMI при работе с удаленной системой.
   (Getting IWbemLocator insatance failed в логе)

 o Исправлена ошибка в окне установленных программ: клавиша Del не удаляла записи из реестра.

 o Исправлена ошибка в функции эмуляции удаления каталога при работе с образом.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
грум

demkd извиняюсь вот это я что-то не понял.

3 часа назад, demkd сказал:

   (!) Если вы используете ERUNT или аналог в Windows Vista и старше то не используйте копию реестра если с момента ее создания было установлено одно и более обновлений Windows.

Бэкап не будет создаваться или что? Или ERUNTом  делать бекап? И еще команда BREG будет отрабатывать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, грум сказал:

Бэкап не будет создаваться или что?

все ж написано

1 час назад, грум сказал:

И еще команда BREG будет отрабатывать?

будет, причем сохранятся теперь будет весь реестр.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.0.8
---------------------------------------------------------
 o Добавлена поддержка утилиты ABR (http://dsrt.dyndns.org/files/abr.zip)
   Формат сохраняемого реестра унифицирован с ABR.

 o В лог выводится текущий пользователь для неактивной системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

а где должна располагаться утилита abr? в текущем каталоге uVS? чтобы ее можно было вызвать из uVS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
11 часов назад, santy сказал:

а где должна располагаться утилита abr? в текущем каталоге uVS? чтобы ее можно было вызвать из uVS.

ABR это самодостаточная утилита для автобэкапа и восстановления реестра, аналог ERUNT-а только правильно работает в отличие от него и никак не зависит от прав текущего пользователя в режим сервиса. В uVS функции сохранения реестра полностью идентичные тем что в ABR, т.е. если сохранить реестр uVS-ом то восстановить его можно будет с помощью restore из ABR, если закинуть restore в каталог с сохраненным реестром и наоборот uVS теперь автоматически находит копии сделанные ABR (по дефолтному пути сохранения) и способен восстанавливать реестр из этих копий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

а что я делаю не так?
 

Цитата

 

запустил uVS от администратора в нормальном режиме. Выполняю функцию: Файл - бэкап реестра.

Процесс сохранения реестра займет несколько минут, отпустите мышь и клавиатуру...

Ошибка при сохранении SYSTEM  [Системе не удается найти указанный путь. ]

Ошибка при сохранении SOFTWARE  [Системе не удается найти указанный путь. ]

Ошибка при сохранении DEFAULT  [Системе не удается найти указанный путь. ]

Ошибка при сохранении SAM  [Системе не удается найти указанный путь. ]

Ошибка при сохранении SECURITY  [Системе не удается найти указанный путь. ]

Ошибка при сохранении COMPONENTS  [Системе не удается найти указанный путь. ]

и т.д.

 

uVS v4.0.8 [http://dsrt.dyndns.org]: Windows 7 Enterprise x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
грум

У меня тоже также. Windows 10 64 бит.

Снимок.PNG

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
3 часа назад, santy сказал:

а что я делаю не так?

это целевой каталог в system32\config не создался, исправлю, ошибка проявляется только в 64-х битных системах, создание каталога стояло до отключения редиректора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.0.9
---------------------------------------------------------
 o При создании каталога под бэкап реестра не отключался системный редиректор.
   (для x64 систем)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

---------------------

Полное имя                  C:\WINDOWS\SYSTEM32\BROWSER.DLL
Имя файла                   BROWSER.DLL
Тек. статус                 ИЗВЕСТНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST] Chrome/Yandex
                            
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST] Chrome/Yandex
                            
Оригинальное имя            browser.dll.mui
Версия файла                10.0.15063.0 (WinBuild.160101.0800)
Описание                    Библиотека DLL службы браузера компьютеров
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
Стартовая страница          Chrome
                            
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\Browser\Parameters\ServiceDLL
ServiceDLL                  %SystemRoot%\System32\browser.dll

------------------

У меня такое впечатление, что информация в Инфо. по файлу не полная.

------------------

2) Я тут периодически  simplix почитываю.

https://forum.simplix.ks.ua/viewtopic.php?pid=23986#p23986

В части:  

Цитата

    

Дополнительно в последних версиях SmartFix анализирует автозагрузку до лечения из системы и отправляет хеши подписанных файлов мне, а я периодически проверяю их на VirusTotal и в случае положительного срабатывания добавляю в базу. В планах есть желание автоматизировать эту процедуру с помощью Autoruns 

В принципе  споит скооперироваться с simplix  и совместно решить задачу "чёрных" ЭЦП

тем более, что для uVS запросы к VirusTotal  не проблема.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dragokas

Здравствуйте, Дмитрий!

Можете, пожалуйста, сделать корректировку для утилиты ABR ?

Лог из Win2k:

Цитата

C:\WINNT\ABR
Backup of SYSTEM successfully completed
Backup of SOFTWARE successfully completed
Backup of DEFAULT successfully completed
Backup of SAM successfully completed
Backup of SECURITY successfully completed
(!) Unable to open key: [Отказано в доступе. ]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList

Когда вы открываете ключи, в Win2k нельзя передавать флаг WOW64_64Key в функцию RegOpenKeyEx. Конкретно в win2k / 2k server это будет приводить к коду 5.

С уважением,

Станислав.

Отредактировал Dragokas

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
5 часов назад, Dragokas сказал:

Когда вы открываете ключи, в Win2k нельзя передавать флаг WOW64_64Key в функцию RegOpenKeyEx.

Да, так и есть, ошибка при открытии ключа, исправлю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

https://forum.simplix.ks.ua/viewtopic.php?pid=23985#p23985

http://www.tehnari.ru/2510186-post11.htm

В FRST вижу записи типа:

HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ATTENTION

Может твик по очистке ?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
48 минут назад, PR55.RP55 сказал:

Может твик по очистке ?

может быть и стоит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
45 минут назад, demkd сказал:

может быть и стоит.

Тогда нужно в Инфо. дополнительно писать:

HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions)

или, что - то наподобие + дублировать записи в ЛОГ.

Чтобы оператор это видел.

+

Если, данный сертификат содержится в wdsl - то, твик очистки применяется

" автоматически ".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dragokas
8 часов назад, demkd сказал:

Да, так и есть, ошибка при открытии ключа, исправлю.

Спасибо. 

Хочу сделать предложение. В x64 Windows RE можно запускать только x64 приложения, т.к. не инициализируется подсистема WOW. Было бы очень удобно всегда иметь под рукой 2 restore.exe, один под x32, другой под x64, и например, копировать в c:\Windows\ABR\<Дата> нужный в зависимости от разрядности ОС. Это несложно сделать? Тогда, если система случайно будет "убита" через реестр, можно легко загрузиться в среду восстановления и сделать откат, подставив нужную букву диска к restore, как у вас сейчас сделано.

Не знаю баг ли, запускал в x32 Windows 7 RE, restore без ключей (да, знаю, что так нельзя; на самом деле по привычке ввёл ключ /?) и получил:

Цитата

C:\Windows\ABR\2017-08-18 --> C:\Windows\System32
C:\Windows\ABR\2017-08-18
Error occured on restore SYSTEM  [База данных реестра повреждена. ]

Может, просто формулировка сообщения об ошибке неправильная. restore буква_диска: отработала нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dragokas

Ещё мелочь:

SeRestore privilege accuried => SeRestore privilege is acquired

P.S. Просите меня за мою излишнюю педантичность.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
4 часа назад, Dragokas сказал:

т.к. не инициализируется подсистема WOW

не запускаются 32-х битные приложения? хм, не замечал такого, какая версия RE?

4 часа назад, Dragokas сказал:

Может, просто формулировка сообщения об ошибке неправильная. restore буква_диска: отработала нормально.

Описание ошибки отдает сама система, но да для неактивной нужно использовать с буквой в качестве параметра.

1 час назад, Dragokas сказал:

SeRestore privilege accuried => SeRestore privilege is acquired

Исправлю в uVS, а в abr оно уже не выводится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dragokas
3 минуты назад, demkd сказал:

не запускаются 32-х битные приложения? хм, не замечал такого, какая версия RE?

Не совсем понял вопроса. Это F8 => Устранение неполадок компьютера (Windows 7 x64, но и на других будет тоже самое). Попытка запуска приводит к ошибке "Отсутствует подсистема, необходимая для поддержки данного типа образа".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×