Vba32 AntiRootkit 3.12.5 beta - Страница 7 - Выбор домашних средств защиты - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

rkhunter
rkhunter, осторожнее. По тенденции толковые технари этого форума переходят работать в ЛК, либо уходят в свободное плавание, явно выражая симпатию к ЛК ;)

Да я ж и так в свободном :) И как не выражать, если продукт хороший :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Да я ж и так в свободном :) И как не выражать, если продукт хороший :)

Не удержался, кое-что добавлю, человек 20 наверное навалило, анонимусов, наверняка из дохторов :)

Там же к трем основным правилам, не тусоваться на других форумах, особенно, на AM, никуда не ездить, ничего не рассказывать добавилось и другое. Не в почете было даже тусоваться на собственном форуме forum.drweb.com, короче решили обложить "спецов" со всех сторон, гаечки потуже закрутить да и побольше деятельность симулировать, читай DiabloNova посты на их же новости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Давайте еще что-нибудь техническое обсудим, я как раз в отпуске ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky
Но главное, сервис, с которого стартует драйвер - ветка реестра, ее не было. :(

Да, есть такой момент. Autorun и Drivers&Services в нашем продукте пока не реализованы на низком уровне, поэтому скрытые ветки реестра не видны.. Будет добавлено в одной из следующих итераций.

Давайте еще что-нибудь техническое обсудим, я как раз в отпуске ;)

Я за :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Дмитрий, а как проверить на предмет Cidox - VBR?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky
Дмитрий, а как проверить на предмет Cidox - VBR?

Напрямую - пока к сожалению никак. См. http://www.anti-malware.ru/forum/index.php...st&p=134575 и след. пост..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky

Здравствуйте!

Представляю вашему вниманию Vba32 AntiRootkit 3.12.5.5 beta build 424 !

Ссылки для скачивания прежние:

http://anti-virus.by/en/beta.shtml

ftp://anti-virus.by/beta/vba32arkit_beta.7z

ftp://anti-virus.by/beta/vba32arkit_beta.zip

Что нового по сравнению с пребетой:

+ Добавлен ключ командной строки /nodmsa, включающий режим совместимости.

Если у вас проблемы с запуском антируткита, укажите данный ключ и код прямого доступа к контроллеру/ам будет деактивирован. С появлением данной опции больше держать предыдущую бету в паблике не считаю необходимым.

+ Vba32 Defender: добавлен контроль целостности файлов, занесённых в белый список

+ Поиск скрытых драйверов по MZ-PE заголовкам в системном пуле оставлен только для систем Vista и старше

+ Опция Restore MBR and force reboot

Привет Юре Паршину :rolleyes:

+ Возможность извлекать девайсы из стека устройств ( DetachDevice )

Полезная возможность. Например, при лечении Necurs и не только.

* Исправлены некоторые баги и зависания.

* Выложил файл помощи на русском языке

Отдельное спасибо K_Mikhail и rkhunter, принимавшим активное участие в тестировании продукта.

Как всегда с радостью ждём замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit[at]anti-virus.by Это позволит сделать продукт лучше

P.S. Планирую постепенно начинать выкладывать инструкции по лечению конкретных заражений с помощью Vba32 AntiRootkit, например, такие:

http://anti-virus.by/en/doc/Vba32%20AntiRo...20vs%20TDL2.pdf

http://anti-virus.by/en/doc/Vba32%20AntiRo...20vs%20TDL4.pdf

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky

Вернули проверку АВ-ядром, следующей бетой снова можно будет пользоваться в нескольких режимах. Примеры детекта активных заражений:

max___4.PNG

tdl3.PNG

post-13504-1322642597_thumb.png

post-13504-1322642623_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky

Здравствуйте!

Представляю вашему вниманию Vba32 AntiRootkit 3.12.5.6 beta build 493 !

Внимание! Ссылки для скачивания немного изменились ( подробнее ниже ):

http://anti-virus.by/en/beta.shtml

ftp://anti-virus.by/pub/beta/vba32arkit_beta.zip ( обычная версия, ~4 Mb )

ftp://anti-virus.by/pub/beta/vba32arkit_full_beta.zip ( полная версия с антивирусным ядром и базами, ~100 Mb )

Список изменений относительно версии 3.12.5.5:

+ Анализ загрузочных секторов логических дисков ( только NTFS ). Детект, просмотр, дамп и восстановление

нестандартных и подменённых загрузчиков. Сохранение в логе дампа загрузочных секторов основного раздела

Позволяет детектировать/лечить Cidox/Carberp. Обратите внимание, некоторые "кряки" для Windows модифицируют VBR - антируткит их детектирует как нестандартные и после восстановления ваша "активация" теряется.

+ Возможность использовать антивирусное ядро VBA32 для проверки подменённых, залоченных файлов, а также для

проверки загрузочных секторов ( MBR & VBR )

Значительно расширили интерфейс взаимодействия антируткита с антивирусным ядром. Теперь антируткит доступен для скачивания в двух вариантах - обычном и полном. В полном варианте вместе с антируткитом поставляются антивирусное ядро и актуальные базы ( архив пересобирается ежедневно ).

+ Опция Force Delete

Позволяет удалять файлы, открытые с эксклюзивным доступом / залоченные с помощью ф-и LockFile. Для модулей процессов доступна оцпия - "Unmap in all processes and force delete"

* Расширена функциональность сканера в Low-Level Disk Access Tool

Добавлена возможность проверки загрузочных разделов и системной директрории. Функционал будет продолжать расширяться.

* Улучшена стабильность работы модуля прямого чтения

Решены проблемы с чипсетами nForce, модуль прямого чтения ведёт себя намного более стабильно. Пока не идеально ( ключ /nodmsa по-прежнему доступен ), но мы к этому вплотную приблизились :)

* Улучшена общая стабильность работы программы

Исправлены возможные вылеты в BSOD на некоторых вариантах MAX++, исправлены ошибки в детекте некоторых версий Sinowal'ов.

* Доработан файл отчета

* Доработан файл помощи на русском языке

Как всегда отдельное спасибо K_Mikhail, принимавшему активное участие в тестировании альфа-версии продукта.

С радостью ждём замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit[at]anti-virus.by Это позволит сделать продукт лучше !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®
В полном варианте вместе с антируткитом поставляются антивирусное ядро и актуальные базы ( архив пересобирается ежедневно ).

То бишь онлайн-апдейта нет?

Обратите внимание, некоторые "кряки" для Windows модифицируют VBR - антируткит их детектирует как нестандартные и после восстановления ваша "активация" теряется.

Варезники буду негодовать. Мало того, что бесплатные антивирусные утили убивали их патчи-ключеделы за ворованную Темиду, теперь ещё и антируткит будет рубить "лицензию". Начнётся срач о сговоре с M$ :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky
То бишь онлайн-апдейта нет?

Нет, и сделано это намеренно.

Варезники буду негодовать. Мало того, что бесплатные антивирусные утили убивали их патчи-ключеделы за ворованную Темиду, теперь ещё и антируткит будет рубить "лицензию". Начнётся срач о сговоре с M$ :)

Их право. Мы долго думали, но если там по факту модифицированный загрузчик ? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®
Нет, и сделано это намеренно.

Это понятно. Два зайца: антируткит и ниша портабельных бесплатных сканеров.

Их право. Мы долго думали, но если там по факту модифицированный загрузчик ?

Whitelist-база, нет? :) Их ведь не так уж и много на самом деле.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

И ещё - я так понял, что теперь Vba32 AntiRootkit dll и Vba32 AntiRootkit Check dll радостно заменились на GDI+ и С++ Runtime? Или их забыли вложить в архив?

P.S. А может я просто уже отстал за развитием и это давно заменилось?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky
Whitelist-база, нет? :) Их ведь не так уж и много на самом деле.

Не всё так просто. Не буду вдаваться в подробности, но гипотетически возможна ситуация, когда малварь будет маскироваться под данный тип кряков. И соответственно, "вайтлистится".

И ещё - я так понял, что теперь Vba32 AntiRootkit dll и Vba32 AntiRootkit Check dll радостно заменились на GDI+ и С++ Runtime? Или их забыли вложить в архив?

P.S. А может я просто уже отстал за развитием и это давно заменилось?

Отстали :rolleyes: От vba32ar.dll и vba32arch.dll в виде отдельных модулей мы отказались, наверное, уже пару лет как :D Их функционал полностью перенесён в .exe

gdiplus.dll нужна только для Windows 2000, и то в очень редких случаях

c++ runtime нужен для работы антивирусного ядра, для антируткита рантайм-библиотеки не нужны.

Исполняемый файл полностью самодостаточный :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky

Обновили билд, с сегодняшнего дня доступна для скачивания версия 3.12.5.6 build 500 !

Changelog:

* Улучшена стабильность Vba32 Defender

* Улучшена стабильность работы модуля прямого чтения

* Исправлены незначительные ошибки в реализации GUI

* Доработан файл помощи на русском языке

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky

Всем привет!

Представляю вашему вниманию Vba32 AntiRootkit 3.12.5.7 beta build 588 !

Ссылки для скачивания прежние:

http://anti-virus.by/en/beta.shtml

ftp://anti-virus.by/pub/beta/vba32arkit_beta.zip ( обычная версия, ~4 Mb )

ftp://anti-virus.by/pub/beta/vba32arkit_full_beta.zip ( полная версия с антивирусным ядром и базами, ~100 Mb )

Список изменений относительно версии 3.12.5.6:

+ Механизм разбора файлов реестра. Прямой доступ к реестру осуществляется в окнах Autorun и

Drivers & Services ( from Registry ), а также при сборе информации о системе ( пункт Registry )

Давно следовало сделать, но руки не доходили :rolleyes: Теперь данный функционал реализован.

+ Окно Low-Level Registry Access tool. Работа со скрытыми, заблокированными и подменёнными ключами

реестра

Данное окно пока находится в "зачаточном" состоянии. В следующей сборке будут добавлены сканер, а также расширен список возможных действий.

+ Лечение буткитов, модифицирующих таблицу разделов MBR

В частности, Rootkit.Boot.sst

+ Vba32 Defender: добавлен вывод информации о коммандной строке и Id родителя ( при запуске процессов ).

Возможность блокирования операций создания веток реестра, а также изменения значений в ключах реестра

+ Опция Reboot on Exit

Эти дополнения необходимы для лечения угроз, постоянно перезаписывающих свои ключи в реестре. К таким относятся некоторые модификации TDSS, ZBot, Rustock и т.п.

+ Поддержка Windows 8 Consumer Preview. Поддержка Windows 8 Developer Preview прекращена

Стараемся поддерживать самые новые сборки :rolleyes:

- Опция Force reset

Теперь с уверенностью можно сказать, что этот функционал больше не нужен. Force reboot справляется во всех известных случаях.

* Улучшена общая стабильность работы программы

* Улучшена стабильность работы модуля прямого чтения

* Исправлены проблемы в работе Vba32 Defender

* Исправлены проблемы в модуле самозащиты

* Исправлены ошибки в реализации GUI

Над багофиксом и стабильностью поработали достаточно серьёзно.

* Доработан файл помощи на русском языке

Как всегда отдельное спасибо K_Mikhail, принимавшему активное участие в тестировании альфа-версии продукта.

С радостью ждём замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit[at]anti-virus.by Это позволит сделать продукт лучше !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525
С радостью ждём замечаний/предложений/дампов. Это позволит сделать продукт лучше !

Сделать русский интерфейс!(а не файлы помощи). Ведь не буржуйский продукт.. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky
Сделать русский интерфейс!(а не файлы помощи). Ведь не буржуйский продукт.. :rolleyes:

Пока поддержку языков добавлять не видим особого смысла - интерфейс не сложный. Тем не менее, локализация будет в одной из следующих выпусков.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
newbieHelper
Ведь не буржуйский продукт.. :rolleyes:

А что, москальский?

Отредактировал newbieHelper
  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Что-то ссылки на скачивание третьи сутки не доступны??

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky
Что-то ссылки на скачивание третьи сутки не доступны??

Только что перепроверил - все ссылки рабочие. И были доступны всё это время..

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Хм, опера не пускает. :unsure:http://i5.pixs.ru/storage/4/6/6/ScreenShot...166_4631466.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Groft

Работоспособность ссылок подтверждаю. Проверьте настройки фаервола\Oперы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525
Работоспособность ссылок подтверждаю. Проверьте настройки фаервола\Oперы.

Не понимаю почему Опера блокирует, пришлось с Dragon браузера скачивать.

Dmitry Varshavsky

Пока поддержку языков добавлять не видим особого смысла - интерфейс не сложный.

Совсем простенький.. )

Только так и не понял, что дальше делать, по окончании сканирования. :huh:

Приведен скрин, (один фрагмент из результата). Где красным отмечены нормальные программы. Сама себя VBA тоже нашла.. :rolleyes:

Что делать с результатами? Т. к -не исправить, не удалить.., ничего не нашел..

Да, сканировал в обычном режиме, т.к в "усиленном", через пять минут вылетает в синий экран.. :rolleyes:

http://i5.pixs.ru/storage/6/9/5/ScreenShot...117_4644695.jpgScreenShot_2104117_4644695.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Groft
Dmitry Varshavsky

Совсем простенький.. )

Только так и не понял, что дальше делать, по окончании сканирования. :huh:

Приведен скрин, (один фрагмент из результата). Где красным отмечены нормальные программы. Сама себя VBA тоже нашла.. :rolleyes:

Что делать с результатами? Т. к -не исправить, не удалить.., ничего не нашел..

Да, сканировал в обычном режиме, т.к в "усиленном", через пять минут вылетает в синий экран.. :rolleyes:

http://i5.pixs.ru/storage/6/9/5/ScreenShot...117_4644695.jpgScreenShot_2104117_4644695.jpg

1) После падения в синий экран должен был образоваться дамп памяти, который нужно выслать нам на почту: arkit[@]anti-virus.by. Для уменьшения размера заархивируйте архиватором.

2) По поводу скриншота. Для предметного разговора нужно посмотреть файл отчета. Без него в Вашем случае трудно что-либо сказать. Если хотите получить ответ - присылайте также на почту. Будем разбираться :)

3) По поводу действий над объектами. Вы создали файл отчета, в нем не предусмотрены действия над объектами. Для выполнениям действий нужно открыть в главном окне "Tools" и выбрать нужный раздел

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Если версия системы идентичная то скорее всего подойдет, но это не точно, потому что лично я всегда пользовался бэкапом реестра, сперва ERUNT-ом, а когда он стал неактуален сделал свой ABR.
    • santy
      Вообще, в сети мало пишут про то, как восстановить работу безопасного режима, в основном после поискового запроса выводят статьи, как войти в безопасный  режим. (Видно хромает еще ИИ по этому вопросу). По данному, частному случаю как будто все уже перепробовали: точка восстановления есть но с заражением системы, со слов пользователя. Хотя по факту здесь и не нужно восстанавливать систему, достаточно только найти в этой точке файл SYSTEM, откопировать его в другое место и извлечь из него ключ SafeBoot. Возможно, что он и делал восстановление системы из точки восст., но Safe mode не заработал. Других точек восстановления нет, бэкапов реестра нет, так как не работал ранее с uVS, да, и мы вообщем редко практикуем в сложных случаях создавать бэкап реестра. Те функции восстановления ключа, что заложены в uVS, опираются на бэкап реестра. (Которого не оказалось в системе). Твик Зайцева так же не сработал, возможно основан на методе их текста, который RP55 принес сюда. Остается попытаться перенести ключ с чистой аналогичной системы. Возможно ли безболезненно взять ключ Safeboot из другой аналогичной чистой системы? Какие могут возникнуть проблемы? драйвера оборудования могут оказаться различными?  
    • demkd
      "CurrentControlSet" это виртуальный ключ, он указывает на последний рабочий CurrentControlSetXXX, потому копировать там обычно нечего потому что есть лишь CurrentControlSet001, который и есть CurrentControlSet, другое дело когда есть 001 и 002, один из них может быть живым, а может и не быть.
      Но на самом деле не нужно маяться фигней, нужно пользоваться бэкапом и восстановлением реестра, тем более что в uVS есть твик для включения системного бэкапа реестра, так же копии реестра есть в теневых копиях и точках восстановления, где гарантировано можно найти рабочую ветку реестра и восстановить ее либо руками либо через uVS->Реестр->Восстановить из копии ключ SafeBoot
    • PR55.RP55
      " Вот еще в помощь рекомендации от Зайцева Олега:   Цитата Кроме того, есть еще один метод восстановления испорченных ключей. Как известно, в самом реестре есть копии ключа SafeBoot. Они находятся в HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot и HKLM\SYSTEM\CurrentControlSet002\Control\SafeBoot. Следовательно, можно попробовать следующую операцию:
      1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot
      2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно)
      3. Импортировать модифицированный файл
      Данная операция может быть успешной сразу после запуска повреждающей ключ реестра вредоносной программы, до перезагрузки. Нарушена загрузка в защищенном режиме (SafeBoot) Изменено 6 часов назад пользователем safety " https://forum.kasperskyclub.ru/topic/466078-privetstvuju-slovil-majner-po-nazvaniem-toolbtcmine2782/page/6/#comments А, что если это будет делать uVS ? т.е. Копировать ключ > модифицировать > производить перезапись.
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.1.10.
×