Universal Virus Sniffer (uVS), Вопросы разработчику

[demkd 603]

PR55.RP55

да, при работе с образом так и есть, посмотрю.

[PR55.RP55 82]

Demkd пишет:

Да, при работе с образом так и есть, посмотрю.

И не только с образами !

Например

ССЫЛКА: HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS\APPINIT_DLLS

Срабатывает Критерий на: GUARD32.DLL ( COMODO )

*Есть мнение, что в ряде случаев F4 не вполне корректно работала с критериями/подозрительными и на предыдущих версиях.

Есть мнение, что при создании нового критерия - должна быть реализована возможность ПО ВЫБОРУ назначать уровень/статус

выбранного критерия: "ВСЕГДА ОТОБРАЖАТЬ" или "ОТОБРАЖАТЬ при значении равном"

т.е. При данной настройке объект останется в списке даже после F4.

+

Возможность создавать для графы: СТАТУС - переменную/маркер.

т.е. заменять маркер: " ?Вирус? " на тот, что наиболее корректно будет отображать статус объекта.

Пример:

" ? Adware ? "

" ? Проверить DNS ? "

" ? Это dll от Sony ? "

и т.д.

Это позволит чётко разграничить СТАТУС = уровень угрозы исходящей от объекта и приоритет его обработки.

[santy 151]

по этой теме не все понятно.

http://forum.esetnod32.ru/forum6/topic5791/

образ автозапуска есть в теме.

в логе пишется:

Обнаружен измененный ImagePath для сервиса: srservice

%SystemRoot%\system32\svchost.exe -k netsvcs

--------------------------------------------------------

это изменный ImagePath попадает в лог, или правильный?

[demkd 603]

это изменный ImagePath попадает в лог, или правильный?

первая строка после "Обнаружен измененный ImagePath" то что прописано в реестре,

(т.е. в данном случае пустая строка )

вторая строка то что должно быть т.е. %SystemRoot%\system32\svchost.exe -k netsvcs

[santy 151]

первая строка после "Обнаружен измененный ImagePath" то что прописано в реестре,

(т.е. в данном случае пустая строка )

вторая строка то что должно быть т.е. %SystemRoot%\system32\svchost.exe -k netsvcs

а что это значит, что строка пустая? не запущена служба, или ее вообще уже нет в системе?

(не нашел в ссылках svchost.exe эту службу)

[demkd 603]

santy

В 7-ке просто нет srservice.

А значит что служба есть, но ImagePath для нее пустой.

[Carberp30 0]

demkd

Здравствуйте!

Не подскажете что означают следующие строки в логе Вашей программы?

(!) Обнаружен сплайсинг: LdrLoadDll

IPL NTFS [C:]: Неизвестный загрузчик SHA1: 22EB98F1958025FB41D10EEA183FBC54D6A9FB84

Не удалось открыть файл: C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\\ASPNET_ISAPI.DLL

C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\\ASPNET_ISAPI.DLL [Синтаксическая ошибка в имени файла, имени папки или метке тома. ]

Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS ]

Доступ к файлу получен [C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS]

Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS ]

Доступ к файлу получен [C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS]

Файл не найден: C:\WINDOWS\SYSTEM32\PSXSS.EXE

Файл не найден: C:\USERS\OLGA\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE

Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_DUMPATA.SYS

Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_MSAHCI.SYS

В списке подозрительных файлов соответственно следующие строки:

ПОДОЗРИТ. | C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\\ASPNET_ISAPI.DLL

ПОДОЗРИТ. | C:\USERS\OLGA\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE

ПОДОЗРИТ(А)| C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS

ОС: Vista Home Basic x86 SP1, UAC отключен, сканирование производил в нормальном режиме (не Safe Mode).

Полностью лог не выкладываю, т.к. больше ничего интересного в нем нет. Особенно интересуют первые две строчки, т.к. подозреваю, что в системе сидит какой-то руткит или буткит из-за которого у меня не запускается chkdsk при загрузке винды (команду chkntfs /D выполнял, файлы chk*.exe и autochk.exe не повреждены).

И еще журналы событий не могу очистить, появляется сообщение об ошибке:

"Приложению "Просмотр событий" не удалось очистить журнал. Возникла следующая ошибка: Параметр задан неверно."

А журнал "Система" не протоколирует события аж с 2010 года, хотя он включен, как и остальные.

SPTD.SYS - это драйвер SCSI Pass Through Direct от Duplex Secure Ltd., но откуда он взялся в моей системе я не знаю, ни Alcohol, ни DAEMON Tools у меня не установлен. Следует ли его удалить или можно оставить? А последние четыре строчки я так понимаю можно проигнорировать? Хотя DUMP_***.SYS вроде какие-то нужные системе файлы. PRAETORIAN.EXE - это судя по всему от Yandex Toolbar осталось. PSXSS.EXE - вообще не знаю что за файл.

Кстати, насчет "неизвестного загрузчика" вот здесь некая ТанюшаС похожий лог выкладывала. И ASPNET и PSXSS там тоже есть. Но у нее база хэшей не была подгружена. Поэтому одни вопросы.

А вот еще не понял насчет:

Сигнатур в базе: 0

Загружено поисковых критериев: 0

Где взять эти сигнатуры и критерии? У Вас на сайте только база хэшей выложена...

P.S. Если не в той теме вопросы задаю, скажите, я перемещу.

Отредактировал Май 29, 2012 Carberp30

[g0dl1ke 26]

[demkd 603]

IPL NTFS [C:]: Неизвестный загрузчик SHA1: 22EB98F1958025FB41D10EEA183FBC54D6A9FB84

это нормально не все загрузчики есть в базе проверенных, однако загрузить на VT и проверить всегда стоит, впрочем кто-то уже загружал еще в прошлом году.

Нет доступа к файлу, возможно файл защищен

можно проверить эцп данного файла или загрузить его на VT/JT, для снятия подозрений или просто удалить если sptd не нужен, бывает под него маскируются зловреды.

Файл не найден:

ссылки на убитые файлы, рекомендуется Alt+Del для очистки от мусора (временных файлов, кэшей браузеров, корзины и т.п.) и удаления ссылок на эти файлы.

ASPNET_ISAPI.DLL

двойной слеш в пути стоит исправить в реестре это типичный баг, в xp он не сильно страшен а вот в 7-ке и висле мешает нормальной работе программ.

И еще журналы событий не могу очистить, появляется сообщение об ошибке:

это надо разбираться с соотв. сервисом, скорее всего не запускается по какой-то причине.

PSXSS.EXE - вообще не знаю что за файл.

это рудимент posix его можно смело игнорировать как и DUMP_***

Где взять эти сигнатуры и критерии? У Вас на сайте только база хэшей выложена...

например сделать самому, я не выкладываю ни критерии ни сигнатуры.

[Carberp30 0]

однако загрузить на VT и проверить всегда стоит

А как его загрузить? Или если кто-то уже загружал можно не проверять? Кстати, хэш-то на VT другой вроде. Или я не туда смотрю?

ссылки на убитые файлы, рекомендуется Alt+Del для очистки от мусора

А ничего не попортится? Я как-то автоматической чистке реестра не очень доверяю. И равносильна ли функция Вашей программы "Дефрагментация SYSTEM и SOFTWARE" перепаковке всего реестра, которую осуществляют некоторые утилиты, типа Fix-It? Хочу после установки SP2 дефрагментацию реестра сделать, чтобы быстрее работало, а утилиты специальные искать и ставить влом.

это рудимент posix его можно смело игнорировать как и DUMP_***

Так игнорировать или удалять? Кстати, в XP у меня почти то же самое:  

Файл не найден: C:\WINDOWS\SYSTEM32\PSXSS.EXE

Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_ATAPI.SYS

Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_WMILIB.SYS

двойной слеш в пути стоит исправить в реестре

ОК. Исправлю. А MS куда смотрит? Может уже пофиксили в обновлениях для FW?

это надо разбираться с соотв. сервисом

Да нет, журнал событий запущен, всё протоколируется, кроме журнала "Система", а очистить никак. А проверка диска у меня таки запустилась. Вдруг, ни с того ни с сего. Я только поставил AVZ, включил драйвер AVZPM и перезагрузился. А до этого что только ни делал, не запускалась ни в какую. Чудеса, однако...

А что насчет "(!) Обнаружен сплайсинг: LdrLoadDll"? AVZ тоже пишет:

Функция ntdll.dll:LdrLoadDll (122) перехвачена, метод APICodeHijack.JmpTo[30781F16]

Что это может означать? Или непонятно без контекста?

P.S. Спасибо за ответы!

[demkd 603]

А как его загрузить?

у каждого объекта в uVS есть контекстное меню.

А ничего не попортится? Я как-то автоматической чистке реестра не очень доверяю. И равносильна ли функция Вашей программы "Дефрагментация SYSTEM и SOFTWARE" перепаковке всего реестра, которую осуществляют некоторые утилиты, типа Fix-It?

1. пока никто не жаловался на последние версии.

2. я не знаю чего делает с реестром fixit.

ну а чтоб быстрее работало, надо ставить ssd никая дефрагментация чего либо не поможет.

Так игнорировать

если нельзя, но очень хочется то можно

Исправлю. А MS куда смотрит?

это беда не ms, это беда криворуких программеров, например skype долго этим болел.

Что это может означать? Или непонятно без контекста?

что-то перехватило загрузку dll например стоит какой-то антивирус, фаер использующий морально устаревший сплайсинг или зловред сидит.

возможно в RKU будет видно кто виноват, если нет то для начала можно проверить все неизвестные внедряемые dll в соотв. категории.

[Carberp30 0]

у каждого объекта в uVS есть контекстное меню.

А, всё доперло. Просто у меня в списке объектов по дефолту только подозрительные были перечислены, а развернуть на "Все" как-то не догадался, думал в списке только файлы отображаются. Но все равно непонятно, сохранил загрузчик в файл, SHA-1 хэш изменился с 22EB98F1958025FB41D10EEA183FBC54D6A9FB84 на 467cd9c164a7e66b760f2b8363851545ed116bf0, соответственно результаты проверки на VT по хэшу и путем отправки файла различаются...

я не знаю чего делает с реестром fixit.

Ну, та же дефрагментация, во многих утилитах она есть. В тех же Norton Utilities, например, или TuneUp Utilities, а Fix-It это имелся в виду пакет утилит от Avanquest. Только я не в курсе весь ли реестр там дефрагментируется или как у Вас только эти два файла.

никая дефрагментация чего либо не поможет.

А это кто как говорит, некоторым помогает. И мне думаю поможет, может не очень ощутимо, но при моем 1 гиге оперативы на Висте любая оптимизация будет не лишней.

возможно в RKU будет видно кто виноват, если нет то для начала можно проверить все неизвестные внедряемые dll в соотв. категории.

А как это сделать? И что такое RKU? Объясните поподробнее.

[demkd 603]

соответственно результаты проверки на VT по хэшу и путем отправки файла различаются

так и должно быть, uVS обнуляет несущественные данные в загрузчике, а вот при сохранении обнуление не производится.

И что такое RKU?

RootKit Unhooker, гугль все знает

[santy 151]

полезной оказывается сортировка по статусу в категории "подозрительные", снимает некоторое напряжение при просмотре большого списка с группой записей ?ВИРУС?

[hitman_007 25]

Цитата

ASPNET_ISAPI.DLL

двойной слеш в пути стоит исправить в реестре это типичный баг, в xp он не сильно страшен а вот в 7-ке и висле мешает нормальной работе программ.

А версия 3.75 к примеру не может выгрузить из памяти Skype...это баг или фича? Не может скорее из-за тех самых двойных? А что делать если и вирусня будет так же прописываться?

Система 7 х32.

[demkd 603]

hitman_007

если зловреды начнут так прописываться то в 7-ке им не стартануть, да и нет в данном сучае второго слеша, Skype какой версии?

[Smit 29]

версия375 определяет не верно загрузчик

после перезаписи ни чего не меняется пробовал все варианты перезаписи

все время пишет не известный загрузчик

Archive.rar

Archive.rar

[PR55.RP55 82]

Ошибка в uVS

1) Sha1 - есть и видим, что: "Не удается найти указанный файл."

2) В контекстном меню отсутствует проверка на V.T & Jotti

Образ прилагается.

+ фото.

[Vitokhv 0]

Помогите разобраться, как запустить uVS со значением crimg внутри скрипта settings.ini (и как правильно пишется значение crimg или crimg=1)

Чтобы при запуске, сразу создавался образ автозапуска.

[santy 151]

Помогите разобраться, как запустить uVS со значением crimg внутри скрипта settings.ini (и как правильно пишется значение crimg или crimg=1)

Чтобы при запуске, сразу создавался образ автозапуска.

; Управление автоматическим созданием образа при работе с активной системой.

bCreateImage = 0 (0 по умолчанию, обычный запуск)

1 (создать и сохранить образ автоматически)

2 (создать и сохранить образ автоматически в свернутом виде, затем закрыть uVS)

3 (создать и сохранить образ автоматически в свернутом виде, звуки не издавать,

затем закрыть uVS)

[aliwas 0]

что означают строки /QUITINFO:00000254;000002BC; в разделе запускался неявно или вручную?

[aliwas 0]

что означают строки /QUITINFO:00000254;000002BC; в разделе запускался неявно или вручную?

Неужели никто не знает?

[PR55.RP55 82]

Что означают строки /QUITINFO:00000254;000002BC; в разделе запускался неявно или вручную?

http://forum.esetnod32.ru/forum6/topic5529/

Полное имя /QUITINFO:000004C0;00000440;

Имя файла /QUITINFO:000004C0;00000440;

Тек. статус [Запускался неявно или вручную]

Сохраненная информация на момент создания образа

Статус [Запускался неявно или вручную]

Доп. информация на момент обновления списка

Процесс создан 09:58:43 [2012.05.09]

С момента создания 14:27:19

parentid = 904 C:\WINDOWS\SYSTEM32\SVCHOST.EXE

[demkd 603]

aliwas

а... ну это надо смотреть реестр, бывают левые ссылки для этого раздела особенно для 7-ки

PR55.RP55

посмотрел образ, это тоже надо смотреть реестр.

Smit

посмотрю, а база проверенных была на месте?

[Smit 29]

посмотрю, а база проверенных была на месте?

да база всегда на месте без нее не работаю и всегда обновляю как только вижу обновления .

хочу сказать в дополнении , после перезаписи, загрузчик перезаписывается (что подтверждается нормальной загрузкой виндовс)