Universal Virus Sniffer (uVS), Вопросы разработчику - Страница 49 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

aliwas
а... ну это надо смотреть реестр, бывают левые ссылки для этого раздела особенно для 7-ки

А где и что смотреть? За автозапуск много веток отвечает. Какой алгоритм? Как эта левая ссылка будет выглядеть в реестре?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

aliwas

тяжело это для этого типа файлов, там десятки мест в реестре, проще таки будет выполнить команду "удалить все ссылки..."

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zloyDi

Все привет, есть вопрос, часто на форумах по безопасности стал встречать такую штуку

Аваст постоянно блокирует вредоносный сайт при запуске любого браузера. Меняется адрес прокси-сервера на reezz.com/bg43zv623/proxy.pac. В Хроме удалось изменить адрес, всплывающие сообщения аваста перестали появляться, но с другими браузерами картина остается преждней.

Ни утилита Dr.Wed - CureIt, ни Аваст - при сканировании ничего не находят.

Примеры тем

http://www.adminplanet.ru/t8125.html#post31047

http://www.adminplanet.ru/t8132.html

Или поиск по слову reezz.com http://virusinfo.info/search.php

Насколько я понял вирус прописывает прокси в браузеры, но как эту хрень убрать с помощью UVS? Перелопатил пару логов, ничего подозрительного не нашел...

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Примечание: на версиях uVS 374-375

Было несколько случаев когда все файлы C:\ по команде: "Добавить все исполняемые файлы каталога в список" добавлялись в список в теченнии

10-секунд...

Чего явно быть не может в силу того, что на диске порядка 12000 файлов.

В обычном же случае на это требуется 5-7 минут.

Вероятно есть ошибка при формировании списка.

Сам HDD тестировал, всё в норме. XP-SP3; NOD32; Comodo F.

Сейчас пробовал воспроизвести ошибку однако нет результата.

Но причина ошибки была/есть !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

zloyDi

никак, uVS показывает лишь проксю в MSIE, вообще прокси это уже дело пользователя, пусть включает и отключает самостоятельно.

Но причина ошибки была/есть !

никогда не замечал, а скорость добавления файлов величина переменная, скажем потвторное добавление когда все в кэше и пройдет за неск. секунд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

релизнул v3.76. :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

а... забыл удалить, потом перезалью

... перезалил

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Severnyj

Win 7 x64 HB uVS вылетает с ошибкой через 5 секунд после нажатия кнопки Запустить под текущим пользователем:

759677bc3f46.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Severnyj

а если снять галку "антисплайсинг"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Severnyj

То же самое. Самым первым делом попробовал!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Severnyj

а 3.75 работает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
shestale
Win 7 x64 HB uVS вылетает с ошибкой через 5 секунд после нажатия кнопки Запустить под текущим пользователем:

А у меня на Win 7 x64 работает нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Severnyj

Блин, не работает, будем разбираться, раньше же работало

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Severnyj

вот и интересно почему не работает, обычно это говорит о наличии глюка в uVS,

хорошо бы минидамп получить и стоит еще попробовать чистую версию uVS развернутую из дистрибутива без своих ini и прочих файлов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zloyDi

А что означает? В предыдущей версии такого не было!

C:\WINDOWS\SYSTEM32\WBEM\\WMIPJOBJ.DLL [Синтаксическая ошибка в имени файла, имени папки или метке тома. ]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Severnyj

хорошо, в пн. буду ковырять, может выловлю ошибку.

zloyDi

а это кривая ссылка на WMIPJOBJ.DLL в реестре, лишний слеш в пути до файла, в xp это было некритично, а вот в 7-ке лучше править, я думал над возможностью исправления таких ссылок, но пока лень превалирует над желанием. :D

а не было в старых версиях потому что ключ с этим файлом не попадал в список, а теперь попадает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
goover

Win7 x64

Есть службы, которые в реестре прописывают ImagePath = C:\Windows\system32\ , хотя физически файл находится в C:\Windows\SysWOW64\

На примере службы NAT программы Vmware Player:

_1.2.pngvmnat_proc.png

uVS помещает такие файлы в раздел 'Отсутствующие объекты'

vmnat.png

При удаления ссылок на отсутствующие объекты (в том числе через 'Безопасное удаление ссылок на ВСЕ отсутствующие объекты') такие службы в реестре удаляются, со всеми вытекающими ...

p.s. на первом скрине реестра есть параметр WOW64 = 1 , который, похоже, и указывает, где искать файл. Если там поставить ноль, то служба не запускается - "Файл не найден"

post-5047-1348473055_thumb.png

post-5047-1348473068_thumb.png

post-5047-1348473156_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

goover

почитаю, исправлю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

в общем была необходимость по сетке комп посмотреть:

если на основном стоит winXp а на жертве win7 прога не грузится с ошибкой что не удалось подключиться к ADMIN$

если на оборот работает нормально

а также не возможно работать с удаленной системой если на ней в учетке нет пароля

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Smit

так и должно быть, 7-ку нужно настраивать чтоб был доступ к amdin$ по умлочанию доступа нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
JunDF

В последней версии: http://s017.radikal.ru/i444/1209/c9/588f171ac704.png

Такого не было в предыдущей, такое ощущение, что UVS считает , что она запущена с LiveCD (диск X)

WinXP pro, НЕ виртуальная, диска X нет.

Отредактировал JunDF

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

JunDF

надо в информацию о файле зайти и посмотреть собственно где ссылка на него, может в реестре что криво прописано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
JunDF

demkd

Сделал образа автозапуска новой версией UVS и предыдущей: http://upwap.ru/2854545

Отредактировал JunDF

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      Если версия системы идентичная то скорее всего подойдет, но это не точно, потому что лично я всегда пользовался бэкапом реестра, сперва ERUNT-ом, а когда он стал неактуален сделал свой ABR.
    • santy
      Вообще, в сети мало пишут про то, как восстановить работу безопасного режима, в основном после поискового запроса выводят статьи, как войти в безопасный  режим. (Видно хромает еще ИИ по этому вопросу). По данному, частному случаю как будто все уже перепробовали: точка восстановления есть но с заражением системы, со слов пользователя. Хотя по факту здесь и не нужно восстанавливать систему, достаточно только найти в этой точке файл SYSTEM, откопировать его в другое место и извлечь из него ключ SafeBoot. Возможно, что он и делал восстановление системы из точки восст., но Safe mode не заработал. Других точек восстановления нет, бэкапов реестра нет, так как не работал ранее с uVS, да, и мы вообщем редко практикуем в сложных случаях создавать бэкап реестра. Те функции восстановления ключа, что заложены в uVS, опираются на бэкап реестра. (Которого не оказалось в системе). Твик Зайцева так же не сработал, возможно основан на методе их текста, который RP55 принес сюда. Остается попытаться перенести ключ с чистой аналогичной системы. Возможно ли безболезненно взять ключ Safeboot из другой аналогичной чистой системы? Какие могут возникнуть проблемы? драйвера оборудования могут оказаться различными?  
    • demkd
      "CurrentControlSet" это виртуальный ключ, он указывает на последний рабочий CurrentControlSetXXX, потому копировать там обычно нечего потому что есть лишь CurrentControlSet001, который и есть CurrentControlSet, другое дело когда есть 001 и 002, один из них может быть живым, а может и не быть.
      Но на самом деле не нужно маяться фигней, нужно пользоваться бэкапом и восстановлением реестра, тем более что в uVS есть твик для включения системного бэкапа реестра, так же копии реестра есть в теневых копиях и точках восстановления, где гарантировано можно найти рабочую ветку реестра и восстановить ее либо руками либо через uVS->Реестр->Восстановить из копии ключ SafeBoot
    • PR55.RP55
      " Вот еще в помощь рекомендации от Зайцева Олега:   Цитата Кроме того, есть еще один метод восстановления испорченных ключей. Как известно, в самом реестре есть копии ключа SafeBoot. Они находятся в HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot и HKLM\SYSTEM\CurrentControlSet002\Control\SafeBoot. Следовательно, можно попробовать следующую операцию:
      1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot
      2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно)
      3. Импортировать модифицированный файл
      Данная операция может быть успешной сразу после запуска повреждающей ключ реестра вредоносной программы, до перезагрузки. Нарушена загрузка в защищенном режиме (SafeBoot) Изменено 6 часов назад пользователем safety " https://forum.kasperskyclub.ru/topic/466078-privetstvuju-slovil-majner-po-nazvaniem-toolbtcmine2782/page/6/#comments А, что если это будет делать uVS ? т.е. Копировать ключ > модифицировать > производить перезапись.
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.1.10.
×