uVS - Тестирование

[demkd 603]

Релиз. В ближайшее время я займусь другим проектом, к которому у меня снова проснулся интерес, поэтому пару месяцев будет перерыв.
Версия уже доступна на сайте и по обновлению, на остальных ресурсах обновится в ближайшее время.
Релиз от RС2 отличается небольшой оптимизацией процесса обработки аргументов командной строки, но вот это вот
"759PTAYMUSGAVLYKC:\WINDOWS\EXPLORER.EXE" я исправлять не стал, пусть остается отдельным объектом, фильтровать все существующие префиксы достаточно затратно по времени, а обновления списка идет и так не слишком быстро.
---------------------------------------------------------
 4.00
---------------------------------------------------------
Основные изменения по сравнению с v3.87, на которые стоит обратить внимание в первую очередь:

 o Добавлена очередь команд, вы можете отдавать команды без ожидания исполнения каждой команды в отдельности,
   что может очень существенно уменьшить общее время исполнения команд.

 o Теперь функции, а так же все соответствующие им скриптовые команды:
   o Удаление ссылки на объект (delref)
   o Удаление объекта вместе со всеми ссылками на него (delall)
   o Выгрузка из памяти (unload)
   o Удаление ссылок на отсутствующие файлы (delnfr)
   НЕ исполняются немедленно, а помещаются в очередь команд, очередь не имеет ограничений на количество элементов.

 o Для исполнения команд в очереди и применения изменений необходимо нажать новую кнопку "Принять изменения".
   Все команды в очереди будут исполнены за один проход.
   (!) Это верно для _всех_ режимов работы uVS.
   (!) Порядок исполнения команд не определен и зависит от id процессов и порядка расположения соотв. записей в реестре,
   (!) т.е. никак не зависит от очередности отдачи команд, однако соблюдается общий порядок: выгрузка процессов,
   (!) затем удаление ссылок и лишь потом удаление файлов.
   (!) Функция убить все найденные вирусы (delvir) кроме основной функции применяет все ранее сделанные изменения и очищает очередь.
   (!) Начало выполнения скрипта очищает очередь БЕЗ применения изменений.
   (!) В скрипте необязательно указывать команду "apply" она будет применена автоматически или в конце исполнения скрипта,
   (!) однако если процесс требует блоков последовательных действий или вы используете виртуализацию, вам необходимо убедиться,
   (!) что команда "apply" присутствует в конце блоков команд и перед командой актуализации реестра.

 o Удалить отдельные команды вы можете в новом разделе "Очередь команд".

 o Добавлена улучшенная функция эмуляции исполнения команд.
   Функция теперь работает в любом режиме uVS, т.е. доступна не только при работе с образом.
   Откат или удаление команды из очереди возвращает статус объекта на момент отдачи команды.
   (!) При работе с реальной системой эмуляция действует до отмены/выполнения команды, обновление списка
   (!) не оказывает влияние на статус объектов действия команд в очереди, т.е. в uVS вы видите результат еще не выполненных команд.
   (!) При работе с образом эмуляция действует до отмены команды или отката по Ctrl+Z до точки предшествующей
   (!) помещению команды в очередь. Кнопка "Применить" делает статус объекта постоянным, однако и в этом случае возможен откат по Ctrl+Z.
   (!) Эмуляция для связанных объектов производится только после нажатия кнопки "Применить". (например имеющих статус "авторановый")

[santy 151]

demkd,

версию так и не поменял в стартере.

[santy 151]

demkd,

спасибо за оперативный выпуск этого релиза, как всегда насыщенный полезными нововведениями и исправлениями!

Спасибо всем, кто участвовал в выпуске данного релиза! Кто вносил предложения по новому функционалу и исправлениям, тестировал промежуточные бета-версии и находил ошибки.

 

[demkd 603]

1 час назад, santy сказал:

версию так и не поменял в стартере.

да и ладно там вообще можно убрать версию стартер очень редко меняется.

31 минут назад, santy сказал:

спасибо за оперативный выпуск этого релиза, как всегда насыщенный полезными нововведениями и исправлениями!

Посмотрим как понравятся нововведения народу.
Спасибо за тестирование

[PR55.RP55 82]

6 часов назад, demkd сказал:

В 02.05.2017 at 9:20 PM, PR55.RP55 сказал:

Чередовать строки ( строка пропуск; строка пропуск )

Кто-то ныл что на формуах есть ограничение на размер, а тут +2 байта на каждую строку, да и нет желания у меня править в 50 местах код ради того чтобы потом услышать, о а теперь в окне редактора в 2 раза меньше строк видно.

Я разве об этом

Я об этом ( см. фото )

 

Цитата

В ближайшее время я займусь другим проектом, к которому у меня снова проснулся интерес, поэтому пару месяцев будет перерыв.

Demkd а, что за проект ? ( если это не секретный - секрет конечно )

А то если, что можно десяток другой ( не побоюсь этого слова ) гениальных идей к проекту 

 

[demkd 603]

43 минут назад, PR55.RP55 сказал:

Я об этом ( см. фото )

не это тоже не к чему.

44 минут назад, PR55.RP55 сказал:

Demkd а, что за проект ? ( если это не секретный - секрет конечно )

секрет

[PR55.RP55 82]

2 минуты назад, demkd сказал:

не это тоже не к чему.

Так тож по settings.ini  будет...

Кому нужно тот включит опцию.

--------------

С релизом !

 

[PR55.RP55 82]

В 02.05.2017 at 7:56 AM, demkd сказал:

В 01.05.2017 at 9:26 PM, PR55.RP55 сказал:

А вроде uVS объекты: Scrcons.mof < > Scrcons.exe
 

https://msdn.microsoft.com/en-us/library/aa823192(v=vs.85).aspx
 

Просто дело в том, что...

1) http://www.tehnari.ru/f35/t253566/

2) Здесь без образа: https://forum.esetnod32.ru/messages/forum6/topic13994/message98674/#message98674

[PR55.RP55 82]

+

Ага  попался.

Куролесит видимо с апреля. ( сам файл на v.t с 4 мая )

V.T: https://www.virustotal.com/ru/file/be3749c7ae885a9d5f26d0ed619a05c83521b9da44ee662f8ded08c742b09216/analysis/

--------

Вот оно чё...

Wmi думает, что  используется плагин для выполнения запланированного задания.

Там  на китайском подробный анализ с кодами. ( так, что через переводчика )

https://translate.google.ru/translate?hl=ru&sl=zh-CN&u=http://vinc.top/2017/05/03/windows%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94%EF%BC%8820170503%EF%BC%89/&prev=search

Угар.

 

[demkd 603]

13 минут назад, PR55.RP55 сказал:

Ага  попался.

Сомневаюсь что дело в нем, scrcons что в образе имеет подпись и мало того он 100% подлинный, на vt совсем другой экземпляр, да и ни один нормальный антивирь не показал детекта.
Я бы обратил внимание вот на этот файл
C:\WINDOWS\WINSXS\AMD64_MICROSOFT-WINDOWS-P..INSCRIPTS.RESOURCES_31BF3856AD364E35_6.1.7600.16385_RU-RU_B3C36951B70654CA\PRNCNFG.VBS
зачем он нужен хз, но он модифицирован, а vbs как раз и может использоваться в качестве обработчика эвентов wmi...
...а хотя нет sha1 у него правильный, но странно что подпись битая.

[PR55.RP55 82]

5 минут назад, demkd сказал:

PRNCNFG.VBS

Это где ?

В образах этого нет.

[PR55.RP55 82]

11 минут назад, demkd сказал:

и ни один нормальный антивирь не показал детекта.

Дата анализа:2017-05-04 11:46:13 UTC (7 часов, 18 минут назад)

[demkd 603]

8 минут назад, PR55.RP55 сказал:

Дата анализа:2017-05-04 11:46:13 UTC (7 часов, 18 минут назад)

это ниочем не говорит, а вот тот китаец нашел скрипт который и заставлял scrcons качать файлы, правда имя и путь скрипта осталось тайной где-то в автозапуске.
в принципе процесс описан здесь:
https://translate.googleusercontent.com/translate_c?depth=1&hl=ru&rurl=translate.google.ru&sl=zh-CN&sp=nmt4&tl=en&u=http://www.jb51.net/hack/82851.html&usg=ALkJrhjlI0XSRPPIMsbkxhKZ_FmPlFT7-A

[PR55.RP55 82]

Главное, чтобы uVS это видел.

А если файл скрипт-а  где-то лежит на диске и некая программа его просто считывает, но сам файл не запускается на выполнение...

uVS его не увидит.

 

[demkd 603]

3 минуты назад, PR55.RP55 сказал:

А если файл скрипт-а  где-то лежит на диске и некая программа его просто считывает, но сам файл не запускается на выполнение...

скрипт может быть и инлайновый, так что vbs не обязателен, как с этим бороться хз, надо читать доку https://msdn.microsoft.com/en-us/library/aa393250(v=vs.85).aspx
 

[PR55.RP55 82]

+

По теме, но немного отступая от неё.

По поводу:

Дата анализа:2017-05-04 11:46:13 UTC (7 часов, 18 минут назад)

Я предлагал выполнять проверку на V.T. по стороннему: SHA1

И сейчас можно бы было из меню uVS запустить повторную проверку файла и получить актуальный результат.

----------

И там не только имя файла позаимствовали.

по и инфо. соответствует.

FileVersionInfo properties

Copyright

© Microsoft Corporation. All rights reserved.

 

Product Microsoft® Windows® Operating System

Original name ScrCons

Internal name ScrCons

File version 6.1.7600.16385 (win7_rtm.090713-1255)

Description WMI Standard Event Consumer - scripting

----------

А по поводу ЭЦП

Может у него защита от копирования какая ?

----------

А чтение доку  это хорошо.

Но это уже не моё дело. 

 

[PR55.RP55 82]

8 минут назад, demkd сказал:

инлайновый

Встроенный\интегрированный в структуру...

Есть решение. ( если объект не зашифрован )

Поиск в содержимом файлов.

Скрипт работает с серверами.

Есть обращение к серверу.

Вот по участку кода и можно найти.

---------

Есть такие программы для поиска.

Что-то типа этого: http://soft.oszone.net/program/11595/VRCP_EMSCut/

[PR55.RP55 82]

Посмотрел проги. разработчика есть интересные. ( если совпадает с моими предложениями то программа интересная ) 

http://vrcp.ru/arskill.html

Совпадение идей в: создание собственной дополнительной базы удаляемых файлов;

( я предлагал это в рамках автоскрипта  =

создание\пополнение файловых критериев в автоматическом режиме )

--------------

http://vrcp.ru/autokfd.html

выборочное автоматическое удаление файлов *.

( соответственно в режиме мониторинга )

--------------

http://vrcp.ru/jvbsdel.html

Такого я не предлагал но штука хорошая:   вырезка (удаление) скриптов JavaScript, VBScript, C#, PHP и комментариев из файла;

 

[santy 151]

кстати, FRST здесь показывает какую то активность, связанную WMI_ActiveScriptEventConsumer

Цитата

 

==================== Shortcuts =============================

(The entries could be listed to be restored or removed.)

WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer:

Shortcut: C:\Users\мы\Desktop\Photoshop - Ярлык.lnk -> D:\Photoshop\Photoshop.exe (Adobe Systems, Incorporated) <===== Cyrillic
Shortcut: C:\Users\мы\Desktop\Steam - Ярлык.lnk -> D:\Steam\Steam.exe (Valve Corporation) <===== Cyrillic
Shortcut: C:\Users\мы\Desktop\WOTLauncher - Ярлык.lnk -> D:\World_of_Tanks\WOTLauncher.exe (Wargaming.net) <===== Cyrillic
Shortcut: C:\Users\мы\Desktop\XR_3DA - Ярлык.lnk -> D:\Games\S.T.A.L.K.E.R\bin\XR_3DA.exe () <===== Cyrillic

 

и

==================== Event log errors: =========================

Application errors:
==================
Error: (05/03/2017 09:10:40 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

Error: (05/03/2017 09:07:01 PM) (Source: Wininit) (EventID: 1015) (User: )
Description: Критический системный процесс "C:\Windows\system32\lsass.exe" завершился ошибкой с кодом состояния 00000000.  Необходимо перезагрузить компьютер.

Error: (05/03/2017 04:50:05 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

Error: (05/03/2017 04:44:25 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

Error: (05/03/2017 04:29:34 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

Error: (05/03/2017 11:48:28 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

Error: (05/03/2017 11:39:20 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

Error: (05/03/2017 11:35:06 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

Error: (05/03/2017 11:16:12 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

и

==================== Restore Points =========================

01-04-2017 14:15:14 Центр обновления Windows
09-04-2017 14:15:33 Центр обновления Windows
22-04-2017 23:52:54 Запланированная контрольная точка
03-05-2017 10:38:20 Запланированная контрольная точка
Check "winmgmt" service or repair WMI.

[santy 151]

ошибки полетели, возможно потому что антивирусник начал пресекать активность C:\WINDOWS\SYSTEM32\WBEM\SCRCONS.EXE

2B10FC7EBAD4EB93D1A907CC6F5211BE6CF73D5E.NDF "хттп://47.88.216.68:8888/test.dat" "@NAME=Win32/Packed.NoobyProtect.L@TYPE=ApplicUnwnt@SUSP=mod" 04.05.2017 1217024 bytes

-----------

кстати, этот файлик и сейчас доступен по ссылке.

Время;Модуль сканирования;Тип объекта;Oбъeкт;Bиpуc;Дeйcтвиe;Пoльзoвaтeль;Информация;Хэш;Первое появление здесь
05.05.2017 8:53:47;Фильтр HTTP;файл;хттп://47.88.216.68:8888/test.dat;модифицированный Win32/Packed.NoobyProtect.L подозрительное приложение;соединение прервано;*\*;Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files\Mozilla Firefox\firefox.exe (D6CA67CFE8DE5775D8C9D22C923BE130D66F2DC3).;2B10FC7EBAD4EB93D1A907CC6F5211BE6CF73D5E;05.05.2017 8:53:40

и

возможно, эта задача была в теме

Task: {0B9C84BA-F9E1-4C68-9940-12E236412F0A} - \Runtime -> No File <==== ATTENTION

[santy 151]

этот же файлик есть здесь:

md5,A206D9E633C7D74A735190299B125271

https://malwr.com/analysis/Njg1NDkwMjk1OWYzNDNhODkwMDcxMWUwOGEyMGFkNDk/

[PR55.RP55 82]

Ещё пару тем по проблеме:

http://forum.oszone.net/post-2733690.html

https://forum.drweb.com/index.php?showtopic=327461

 

[demkd 603]

Я разобрался с этой темой, постараюсь сегодня выпустить 4.0.1 оно будет показывать и события и привязанные файловые/инлайновые скрипты, логи и т.п.
и конечно будет возможность это все правильно удалять, однако только для активных/удаленных систем.

[santy 151]

demkd,

43 минут назад, demkd сказал:

Я разобрался с этой темой, постараюсь сегодня выпустить 4.0.1 оно будет показывать и события и привязанные файловые/инлайновые скрипты, логи и т.п.
и конечно будет возможность это все правильно удалять, однако только для активных/удаленных систем.

имеешь ввиду, что через образ автозапуска увидеть эту проблему не получится?

если можно, то добавить подробнее о методе решения этой проблемы вместе с выпуском 4.0.1.

[demkd 603]

18 минут назад, santy сказал:

имеешь ввиду, что через образ автозапуска увидеть эту проблему не получится?

В новой версии будет новый раздел для WMI, в нем и будет то что можно будет удалить.
 

18 минут назад, santy сказал:

если можно, то добавить подробнее о методе решения этой проблемы вместе с выпуском 4.0.1.

Ничего дополнительно делать не придется просто удаление объекта или файлового скрипта, на который будут ссылки из новых объектов, delall удалит и сам скрипт и фильтр событий/класс скрипта и конечно саму привязку к скрипту и конечно delnfr будет удалять остатки если сам скрипт был убит.