Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 82]

Мысли на примере темы:

https://forum.kasperskyclub.ru/topic/463016-pomogite-s-zachistkoj-memtrojanwin32sepehgen/#comments

т.е. У нас есть лог журнала антивируса и есть объект этого журнала: AppLaunch.exe

Можно добавить в меню команды:  Отслеживать потоки внедрённые в ххх.exe

Блокировать доступ к файлу ( с отслеживанием попыток доступа ); Блокировать сетевой доступ.  и т.д.

Да есть твик: 39 но... Он для всей системы.

+ В меню есть команда: Лишить файла статуса "исполняемого файла"

Предлагаю добавить соответствующую команду для каталога ( само собой кроме системных )

т.е. каталог переименовать. ( сейчас есть только удаление ) ( для изучения )

 

 

[PR55.RP55 82]

Предлагаю добавить удаление по критерию поиска.

На примере темы: https://forum.kasperskyclub.ru/topic/463829-ne-poluchaetsja-udalit-virus/

т.е. у нас есть переменные и постоянные... данные.

На основе постоянных данных создаётся критерий поиска и скрипт по нему отработает.

В принципе  можно пользователю кинуть поисковый критерий в виде файла > Прогнать список по поиску > Удалить найденное. Но как это всё объяснять.

[PR55.RP55 82]

Можно сделать так чтобы объект в списке отображался не под своим именем, а под именем критерия. ( или по результату проверки на V.T ) - ( по настройке в settings.ini )

Для чего?

Например в списке есть:

oikgcnjambfooaigmdljblbaeelmeke

odbmjgikedenicicookngdckhkjbebpd

Но объект  может отображаться внятно:

oikgcnjambfooaigmdljblbaeelmeke = T-Сashback1 — кэшбэк-сервис

odbmjgikedenicicookngdckhkjbebpd = T-Сashback2 — кэшбэк-сервис

 

[PR55.RP55 82]

Как бы это выявлять и исправлять в uVS ?

https://forum.kasperskyclub.ru/topic/464495-pojmal-virusa-pereimenovalis-sluzhby/

[santy 153]

В 16.09.2024 at 3:03 AM, PR55.RP55 сказал:

Как бы это выявлять и исправлять в uVS ?

Выявлять это можно через критерий:

C:\WINDOWS\SYSTEM32\WUAUENG.DLL

HKLM\System\CurrentControlSet\Services\wuauserv_bkp\Parameters\ServiceDLL

а для исправления нужен твик с соответствующим файлом reg из чистой системы, например, wuauserv.reg для соответствующей системы.

[PR55.RP55 82]

Предлагаю добавить в settings.ini - настройку: Передавать статистику удаляемых файлов.

Для чего ? Когда статистика будет накоплена ( и проанализирована ) то можно будет применить команду:

1) Обнаружить угрозы - исходя из данных статистики

2) Создать автоскипт на базе общей операционной статистки

3) Создать автоскипт на базе моей статистики.

Файл\ы данных доступны - как при обращении к серверу - так и локально.

-----

% 70 скрипта - Это всё одно и тоже...

Так чего мучить Оператора, если минимум % 70 скрипта можно генерировать автоматически,  а стальное он сам допишет. А то автоскрипт есть - а пользуется этим три человека.

-------

Кроме того - та же история и с FRST - можно создать автоматический _помощник который будет например в Notepad++ помечать ( на базе статистики ) закладкой все типичные удаляемые объекты. Ведь не единым uVS жив человек ?

 

[PR55.RP55 82]

Добавить в меню команды:

Блокировать запуск файла по: [MinimumStackCommitInBytes]

Снять блокировку [MinimumStackCommitInBytes] установленную uVS - [1077777777]

Полностью снять блокировку [MinimumStackCommitInBytes] -  [?ХХХХХХХХ?]

----------

Пример: Блокировать запуск файла по: [MinimumStackCommitInBytes]

IFEO\mediaget.exe: [MinimumStackCommitInBytes] 1077777777

IFEO\PowwerTool.exe: [MinimumStackCommitInBytes] 1077777777

--------

Команда: Проверить реестр и доступные копии реестра ( с возможностью указать копию )

на IFEO -  [MinimumStackCommitInBytes]

Команда: Проверить реестр и доступные копии реестра ( а тут можно подумать, на что ещё можно проверить копию )

[PR55.RP55 82]

В категории установленные программы необходимо добавить распределение по типу программ.

( актуальных для темы лечения )

Браузеры

Антивирусы

VPN - Сервисы

Порой у некоторых пользователей установлено буквально по 200 программ и сидеть  искать установлен ли браузер или антивирус - или VPN, удалён ли он или от него остались в системе хвосты...

 

[PR55.RP55 82]

Сейчас в ряде случаев готовые скрипты и образы приходиться размещать на сторонних ресурсах - типа Яндекс диска и т.д. А тем временем есть оф. сайт...

т.е. Предлагаю добавить в меню uVS команды:

Файл: Создать полный образ автозапуска и разместить образ\получить ссылку с оф. сайта: http://dsrt.dyndns.org:8888

* Соответственно Пользователь\Оператор получает ссылку типа:

http://dsrt.dyndns.org:8888/MSI_2024-12-24_16-07-15_v4.14.6

------------

В Меню Скрипт - команду: Сохранить автоматически созданный скрипт в файл и разместить\получить ссылку с оф. сайта: http://dsrt.dyndns.org:8888

* Соответственно Пользователь\Оператор получает ссылку типа:

http://dsrt.dyndns.org:8888/Скрипт: 001 - & - MSI_2024-12-24_16-07-15_v4.14.6

----------

1) Добавить в меню команду: Выделить свободное место на диске ( Создать диск Х  ) ; создать загрузочный диск и скопировать на диск WIM

2) Вариант: Добавить в меню команду: Выделить свободное место на диске ( Создать диск Х  ) ; создать загрузочный диск и скопировать на диск прошедшие проверку системные файлы\файлы образа.

Это всё можно сделать заранее - до заражения системы. Кроме того далеко не всегда проблемы в работе системы связанны с вирусами. А так флешка не нужна - всё всегда на месте.

 

[PR55.RP55 82]

Полное имя                  E:\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\SCREENSHOTS@MOZILLA.ORG.XPI
Имя файла                   SCREENSHOTS@MOZILLA.ORG.XPI
Статус                      FireFox
Инф. о файле                Системе не удается найти указанный путь.
Цифр. подпись               проверка не производилась
                            
                            
Extension_ID                screenshots@mozilla.org
Extension_name              Firefox Screenshots
Extension_type              extension
Extension_active            true
Extension_visible           true
Extension_version           39.0.1
Extension_installDate       2023-08-30 17:02
Extension_description       Take clips and screenshots from the Web and save them temporarily or permanently.
Extension_userDisabled      false
Extension_sourceURI         null
---------------------------------------------------------

Предлагаю (Нужно) искать  "не найденные"объекты на других дисках. Ведь они эти объекты есть...

D:\Program Files\Mozilla Firefox\browser\features

 

[PR55.RP55 82]

Добавить возможность "автоматического" контроля со стороны оператора\админа

за актуальностью\версией установленных программ.

т.е. Оператор создаёт файл "Контроль Программ.txt" и следит за его актуальностью.

И при открытии меню: Дополнительно > Установленные программы  в списке отображаться не только версия установленной программы - но и её актуальная версия из Контроль Программ.txt *

* или же вместо числового значения\версии - отображается запись\уведомление заданное оператором: - например: ! Внимание найден антивирус !

** Все записи подпавшие под... критерий - перемещаются в начало списка.

 

[PR55.RP55 82]

"Использование групповой политики для удаленной установки программного обеспечения..."

Возможно есть смысл информировать Оператора, что такая политика существует.

 

 

[santy 153]

В 23.12.2024 at 4:54 AM, PR55.RP55 сказал:

В категории установленные программы необходимо добавить распределение по типу программ.

( актуальных для темы лечения )

Браузеры

Антивирусы

VPN - Сервисы

Порой у некоторых пользователей установлено буквально по 200 программ и сидеть  искать установлен ли браузер или антивирус - или VPN, удалён ли он или от него остались в системе хвосты...

 

Создай фильтрующие критерии по цифровым или производителям для браузеров, антивирусов, VPN отдельно, которые наиболее часто используются. Вот тебе и решение. Получишь всю необходимую выборку для анализа.

[PR55.RP55 82]

1 час назад, santy сказал:

Создай фильтрующие критерии по цифровым или производителям для браузеров, антивирусов, VPN отдельно, которые наиболее часто используются. Вот тебе и решение. Получишь всю необходимую выборку для анализа.

 

Если у человека в системе 3 антивируса\сканера - а такое бывает сплошь и рядом - то будет отображаться по сути

мусорная информация.  А зачем нам в списке 100 лишних файлов ?  Чем больше оператор отвлекается - тем чаще он допускает ошибки в обнаружении.

----------------------

А вот для меню: Дополнительно > Установленные программы. Проверка\отображение ЭЦП - была бы более чем полезна... ( желательно с возможностью создать там критерий по ЭЦП )

[santy 153]

12 часов назад, PR55.RP55 сказал:

А вот для меню: Дополнительно > Установленные программы. Проверка\отображение ЭЦП - была бы более чем полезна... ( желательно с возможностью создать там критерий по ЭЦП )

Мусорной она будет для того, кто сам не знает что он ищет. Выборку всегда можно отсортировать по производителю или по пути, а так же использовать фильтрующий поиск. И хвосты как раз удобно находить по выборке, так как самой программы может не быть в списке, а хвосты от нее остаются в автозапуске.

[santy 153]

В 18.01.2025 at 2:14 AM, PR55.RP55 сказал:

Добавить возможность "автоматического" контроля со стороны оператора\админа

за актуальностью\версией установленных программ.

Здесь, мне кажется, ты противоречишь сам себе: с одной стороны утверждаешь, что "не uVS единым", с другой стороны предлагаешь дублировать функционал SecurityCheck by glax24 & Severnyj

[PR55.RP55 82]

Зашёл  Попрощаться - проблемы с почками.

Если в ближайший месяц - два не появлюсь - то...

Всем счастливо оставаться.

 

 

 

[santy 153]

@RP55.

Это ты который раз прощаешься? На моей памяти второй. Так что ждем твоего возвращения, с новыми силами и идеями.

[PR55.RP55 82]

В общем ( извиняюсь, что не по теме )

Была температура 39.8 и дикая боль и на фоне этого у меня началась паническая атака... И пульс 136

Скорая сбила температуру: Анальгин + Димедрол отвезла в больницу.

А там сказали... Вот тебе анализы - ступай ка ты братец домой... А потом в поликлинику к которой приписан... Или вызывай врача на дом.

Очевидный Прогресс.

 

[santy 153]

А что нам остается? Быть ближе к природе, подальше от скорых, поликлинник, больниц, и других известных мест.