Universal Virus Sniffer (uVS), Вопросы разработчику

[demkd 622]

Smit

Глянул... надо было не файл сверки, а образ.

Но прроблема не в этом - база проверенных использовалась безумно старая, в ней просто нет хэшей загрузчиков.

Загружено хэшей проверенных файлов: 516241

А в текущей базе: 586628 хэшей.

[Celsus 60]

Каки сделать загрузочный диск - как и чем (ImgBurn etc.) правильно записать диск и расположить файлы в архиве _autorun.zip?

После создания полного снимка (поиск руткитов) семерки из-под нее и после сканирования этой семерки из-под другой семерки были алерты про неизвестный загрузчик на всех дисках (с показам длинного хэш).

В Сканируемой системе все диски, кроме системного и 100МБ, обозначены как offline. Сканируемая система установлена на VHD. Другая семерка на внутреннем HDD. В ней отключен только 1 раздел.

[zloyDi 15]

Не могу понять, прислали лог не могу открыть! Или он поврежден или глюк

http://zalil.ru/31781085

При открытии виндовс аварийно завершил ювс.

[demkd 622]

  zloyDi сказал:

При открытии виндовс аварийно завершил ювс.

Посмотрю.

  Celsus сказал:

Каки сделать загрузочный диск - как и чем (ImgBurn etc.) правильно записать диск и расположить файлы в архиве _autorun.zip?

Для этого есть Windows AIK. _atorun развернуть в корень диска если это нужно.

  Celsus сказал:

После создания полного снимка (поиск руткитов) семерки из-под нее и после сканирования этой семерки из-под другой семерки были алерты про неизвестный загрузчик на всех дисках (с показам длинного хэш).

Это нормально особенно если база проверенных не лежит на месте.

  Celsus сказал:

В Сканируемой системе все диски, кроме системного и 100МБ, обозначены как offline. Сканируемая система установлена на VHD. Другая семерка на внутреннем HDD. В ней отключен только 1 раздел.

В чем вопрос?

[santy 153]

Цитата(Celsus @ 29.09.2011, 21:30) *

Каки сделать загрузочный диск - как и чем (ImgBurn etc.) правильно записать диск и расположить файлы в архиве _autorun.zip?

  demkd сказал:

Для этого есть Windows AIK. _atorun развернуть в корень диска если это нужно.

создаем загрузочный диск WinPE 3.0 с помощью установленного пакета WAIK (for Windows7)

http://forum.esetnod32.ru/forum9/topic1881/

[PR55.RP55 82]

Вот, есть симпатишный образ.

Красавец

*Для научного изучения

[demkd 622]

PR55.RP55

ага, бывает

[незнайка 0]

santy Не подскажите, если возможно хотя бы в общем, как удаляли с помощью UVS этот самый ZAccess? Хотелосб бы еще узнать опыт борьбы с подобными тварями!

[santy 153]

  незнайка сказал:

santy Не подскажите, если возможно хотя бы в общем, как удаляли с помощью UVS этот самый ZAccess? Хотелосб бы еще узнать опыт борьбы с подобными тварями!

реально пока не встречался в темах заражений, а на виртуалке удалял в uVS из под Live.CD, в безопасном режиме так же создается образ автозапуск и виден файловый поток.

[art 0]

Сейчас в инете довольно много инструкций по удалению вымогателей через УВС. Обычно последовательность такая: 1) твики 2) чистка тэмпов и удаление отсутствующих 3) добавление сигнатур подозрительных в вирусную базу и провека списка.

Но, как я полагаю, правильнее сначала добавлять сигнатуры подозрительных в базу, а потом уже твики и чистка. Ведь, твики и чистка прибьет зловредов, которые грузятся подозрительным способом (и УВС их сразу считает подозрительным), и потом неискушенному юзеру будет сложней добавлять сигнатуры, т.к. возможно, остануться копии зловреда, которые загружаются неподозрительным способом и УВС их не выделяет как подозрительные. Я прав?

[demkd 622]

art

в целом да, сперва нужно выделить зловредов, внести в базу, затем проверив весь список уничтожить соотв. кнопкой и только потом Alt+Delete и твики.

[demkd 622]

Объявление: сайт dsrt.dyndns.org НЕ_доступен по причине некомпетентности dydndns.org, который заблокировал мой акк и в качестве причины блокировки указывает "This account has been tied to instances of malware, which is a violation of our AUP"

Соотв. если проблема не будет решена положительно в ближайшее вермя то все файлы переедут на depositfiles где будет создана постоянная ссылка на группу файлов для скачивания. 4-й раз за 10 лет имя сервера я уже менять не буду, я его просто закрою, надоело.

[Smit 29]

demkd

не надо отчаиваться просто это происки завистливых конкурентов

сайт можно создать например на укозе и даже оставить старое название, добавить кучу "спонсоров"

еще и зарабатывать будете !

или предложите свои услуги DrWeb (в принципе как это получилось у AVZ + кашперский)

куча нормальных вариантов вариаторов, купить доменное имя и не зависит от всяких уродов хостеров

[onthar 0]

demkd, вы так же можете попробовать использовать dropbox.com - сервис, предоставляющий бесплатно 2 гигабайта пространства на их сервере. Как виртуальный диск, даже синхронизацию с папками на ПК можно настроить. Ссылки прямые, рекламы и прочего мусора нету.

А с "депозита" могут удалить еще быстрее, они не смотрят - ложное срабатывание антивируса или нет.

[demkd 622]

  Smit сказал:

не надо отчаиваться просто это происки завистливых конкурентов

Каких еще конкурентов? Это называется "понабрали по объявлениям".

  Smit сказал:

куча нормальных вариантов вариаторов, купить доменное имя и не зависит от всяких уродов хостеров

Зайцев вон купил и тоже в бан полетел. Я не пользуюсь услугами хостеров, я сам себе хостер.

onthar

У меня есть на чем разместить сайт, без каких-либо ограничений и совершенно бесплатно.

Меня напрягают бесконечные смены адреса.

Надоело, если не получится договорится с клоунам на dyndns сервер будет закрыт и все будет на обменнике которому совершненно по барабану что там и где-там главное чтоб качали.

[PR55.RP55 82]

  demkd сказал:

И все будет на обменнике которому совершенно по барабану что там и где-там главное чтоб качали.

Союз печать - по, три копейки получать...

depositfiles - Вызывает, только одно душевное чувство - горькую, сермяжную тошноту!

Крайне, всё это неприятно...

Вариант: ://narod.yandex.ru/

*Да и хрен бы с ними всеми...

[Виталий Я. 859]

  onthar сказал:

demkd, вы так же можете попробовать использовать dropbox.com - сервис, предоставляющий бесплатно 2 гигабайта пространства на их сервере. Как виртуальный диск, даже синхронизацию с папками на ПК можно настроить. Ссылки прямые, рекламы и прочего мусора нету.

Вместо дропбокса, отличившегося дырами в шифровании, советую www.cx.com - дают по 10 Гигабайт и помогут разработчику заработать за счет участия в афилейт-программе

[demkd 622]

  PR55.RP55 сказал:

depositfiles - Вызывает, только одно душевное чувство - горькую, сермяжную тошноту!

Ниче это дело привычки , а вот с моей стороны так одни плюсы, удобный сервис для размещения файлов, без ограничения на скорость заливки файлов, я год уже пользуюсь - удобно, плюс выдают халявные голды, что совсем хорошо.

Разве что доход от него примерно как от кнопки donate в uVS... т.е. примерно пакет сока раз в полгода, впрочем я пока сок могу себе позволить

  PR55.RP55 сказал:

Вариант: ://narod.yandex.ru/

Это не вариант, а пожизненный геморрой, пожалуй это самый убогий хостинг что я видел.

Виталий Я.

Что за аффилейт гляну, но повторюсь мне хостинг НЕ нужен, мне нужно постоянное доменной имя, которое гарантированно никто и никогда не заберет + поддержка динамической смены ip аля dyndns.

[demkd 622]

Сайт доступен снова.

Зачем-то они используют для проверки сайтов вот ЭТО:

http://www.team-cymru.org/Services/MHR/

очевидный вред от подобных "Internet security research firm" в очередной раз проявил себя во всей красе.

[Vvvyg 12]

  demkd сказал:

Сайт доступен снова.

И опять недоступен

[demkd 622]

  Vvvyg сказал:

И опять недоступен

ага, свет рубанули и хз когда включат.

[PR55.RP55 82]

  demkd сказал:

ага, свет рубанули и хз когда включат.

И тут тоже, человеку свет рубанули.

Хотелось бы услышать комментарии...

И даже, до бедного UNLOCKER-а и то добрались!

127.0.0.1 localhost

<html>

<head>

<title>Тревога антивирусной системы ESET Smart Security</title>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

</head>

[santy 153]

  PR55.RP55 сказал:

И тут тоже, человеку свет рубанули.

Хотелось бы услышать комментарии...

Возможно, умелые "Ксюшины ручки" под чьим то чутким руководством добрались до файла hosts и чего-то туда скопировали из буфера обмена

[demkd 622]

  PR55.RP55 сказал:

Хотелось бы услышать комментарии...

а что угодно может быть, но посмотреть на реальный файл hosts было бы интересно.

[art 0]

опять http://dsrt.dyndns.org/uvs.htm не доступен. Ссылки на http://www.anti-malware.ru/forum/index.php...st&p=143115 будут обновляться и в будущем или будут создаваться новые?