Перейти к содержанию
Рашевский Роман

LiveCD Vba32 Rescue

Recommended Posts

Рашевский Роман

Live CD Vba32 Rescue - это загрузочный диск аварийного восстановления системы после вирусного заражения, основанный на ОС Linux.

В состав Live CD Vba32 Rescue входят:

*Консольный сканер для *UNIX (VBA32.L);

*Файловый менеджер MidnightCommander;

*Интерфейс пользователя, реализованный в виде диалога;

*Лицензионный ключ до конца текущего года. После истечения срока действия лицензионного ключа, Вы можете заново скачать дистрибутив Live CD Vba32 Rescue абсолютно бесплатно.

Основные возможности Live CD Vba32 Rescue:

*Сканирование ПК на наличие вредоносных объектов;

*Создание отчетов сканирования системы для последующего обращения в службу тех. поддержки;

*Выполнение основных операций с файлами, находящимися на компьютере пользователя (переименование, копирование, перемещение и т.д.);

Скачать Live CD Vba32 Rescue можно здесь

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рашевский Роман

Здесь Вы можете высказывать свои мнения относительно LiveCD Vba32 Rescue ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zalman

Как можно обновить базы в LiveCD Vba32 Rescue ?

и еще чисто от себя ... проверил LiveCD Vba32 Rescue найдено было всего 5 угроз (не ставил чистку и удаление) и после этого проверил cureit'ом нашел 157

а вообще оч понравилось то что загрузка происходит быстро в отличие многих live cd

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lafiel

ммм ...

А что за угрозы нашел Доктор?

Если он нашел обычные cookies от интернет браузеров,

то мы это за уязвимость не считаем,

если что-то еще, то возможно у вас остались копии и

вы можете прислать их нам на анализ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zalman

могу прислать карантин в архиве под паролем после доктора веба. Я думаю может у меня старые базы в VBA ? Можно ли их обновить ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
могу прислать карантин в архиве под паролем после доктора веба. Я думаю может у меня старые базы в VBA ? Можно ли их обновить ?

1. Присылайте сюда beta[at]anti-virus.by

2. Обновлять базы в Vba32 Rescue нельзя. Необходимо полное выкачивание образа и его запись на болванку.

3. Посмотреть на дату сборки можно в логе сканера. Во время пробега сканера на вашем диске должна создаться папка VbaRescue, в которой и будет отчет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zalman

1. понял (пополняю ClamAV Virus http://cgi.clamav.net/sendvirus.cgi)

2. тоже понял. сборка была скачана вчера вечером

3. если лог на компе сохранился (я сейчас не за ним) то посмотрю

спасибочки за ответы ^_^

вот лог вирустотал

Файл csrss.exe получен 2008.10.20 05:03:08 (CET)

Антивирус Версия Обновление Результат

AhnLab-V3 - - -

AntiVir - - -

Authentium - - -

Avast - - Win32:Trojan-gen {Other}

AVG - - -

BitDefender - - -

CAT-QuickHeal - - -

ClamAV - - -

DrWeb - - -

eSafe - - -

eTrust-Vet - - -

Ewido - - -

F-Prot - - W32/DelfInject.A.gen!Eldorado

F-Secure - - -

Fortinet - - -

GData - - Win32:Trojan-gen {Other}

Ikarus - - -

K7AntiVirus - - -

Kaspersky - - -

McAfee - - -

Microsoft - - -

NOD32 - - -

Norman - - -

Panda - - Suspicious file

PCTools - - -

Prevx1 - - -

Rising - - -

SecureWeb-Gateway - - -

Sophos - - Mal/Emogen-Y

Sunbelt - - -

Symantec - - -

TheHacker - - -

TrendMicro - - -

VBA32 - - -

ViRobot - - -

VirusBuster - - -

Дополнительная информация

MD5: a2d7878c4da60534349c48bec024b0b8

SHA1: 90076f441dcef50ab2bb5e5f7051838bb65fb3b8

SHA256: c4a7277b7323c19483eb5f2e47c75b7dcb008888bd77055a08ddcbedce519a83

SHA512: 46ac3985ec3ee132686ddd4f388f5d84283de902f6782524c97c0ffaf9a013cbdea6dcc126e410c6

f7a6e7e2fd3ba7acc23addf3d87239c58dff4f4cfe9f4c42

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zalman

vba32.rar вот лог VBA32

а вот лог что потом нашел веб на зараженном компе (в логе пути прописаны не первоначально так как проверялся карантин после первой проверки) DrWeb.rar

vba32.rar

DrWeb.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen

Чего-то я не понял вот с этим: C:\Documents and Settings\Admin\Рабочий стол\11022009\Quarantine. Это какой-то архив? Бежал ли по этому архиву vbarescue?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zalman

да это папка. (сначала комп был проверен VBA32 Live CD (без чистки) лог выложел. потом проверил Вебом и собрал угрозы в карантин. лога на том компе не осталось, так вот я проверил этот карантин еще раз и выкинул лог сюда)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
да это папка. (сначала комп был проверен VBA32 Live CD (без чистки) лог выложел. потом проверил Вебом и собрал угрозы в карантин. лога на том компе не осталось, так вот я проверил этот карантин еще раз и выкинул лог сюда)

Все, теперь дошло :)

Тогда получается, что не задетектился червяк Win32.HLLW.Autoruner.6258 (по drweb). Вот он то почти один и определил разницу в 150 пунктов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zalman

да я заметил :) что там один и тот же зловред. А вообще оч жаль что нельзя обновлять базы ... дело в том что использовать Live CD удобно оч с флешки и функция обновления была бы кстати. У других продуктов такая функция есть например в том же F-secure (там это крайне необходимо так как образ весит около 220 мегабайт и каждый раз загружать его накладно). За то сканер работает оч шустро в VBA32

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • alamor
      @demkd, вот неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его. И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. 

       
    • Александр57
      На вкладке "защита" не активен на вкл. ползунки "защита от программ вымогателей" и "проверка на наличие рукитов". Как включить? Программам Malwarebytes premium лицензионная.
    • PR55.RP55
      т.е.  в settings.ini можно прописать так: ; Включить поддержку белого списка ЭЦП. (по умолчанию 0)
      ; Список хранится в файле wdsl, который представляет собой обычный текстовый файл в unicode ; ;  ; ; кодировке.
      ; Одна строка - одно имя, регистр важен.
      bUseWDSList = 1
      ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
      ; (файлы скрываются при запуске функции автоскрипт)
      ; Функция применима при работе с сигнатурами.
      ImgAutoHideVerified = 1
    • PR55.RP55
      WDLS Параметр в settings.ini
         [Settings]
         ; Включить поддержку белого списка ЭЦП.
           bUseWDSList (по умолчанию 0) ------------    ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
         ; (файлы скрываются при запуске функции автоскрипт)
           ImgAutoHideVerified (по умолчанию 0) ---------- Это файл который вы сами составляете\дополняете из Инфо. файла. Это список белых Электронно Цифровых Подписей. Настройка позволяет считать проверенными не все ЭЦП, а только те которые были добавлены вами. Например:  Действительна, подписано """Ask-Integrator"", Ltd." Имеет легальную подпись - однако данной ЭЦП нет в списке  WDLS  файлы подписанные """Ask-Integrator"", Ltd." не будут считаться проверенными. -------- Сам файл в теме. wdsl.7z * Если в категории:  " Белый список ЭЦП"  вы видите список - значит всё настроено верно. Файл в приложении, расценивайте как образец. Что-то можно убавит, что-то добавить. ( с соблюдением кодировки )
    • Dragokas
      Объясните тёмному человеку, что такое WDLS ?
×