Vba32 AntiRootkit 3.12.5 beta - Страница 7 - Выбор домашних средств защиты - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

rkhunter
rkhunter, осторожнее. По тенденции толковые технари этого форума переходят работать в ЛК, либо уходят в свободное плавание, явно выражая симпатию к ЛК ;)

Да я ж и так в свободном :) И как не выражать, если продукт хороший :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Да я ж и так в свободном :) И как не выражать, если продукт хороший :)

Не удержался, кое-что добавлю, человек 20 наверное навалило, анонимусов, наверняка из дохторов :)

Там же к трем основным правилам, не тусоваться на других форумах, особенно, на AM, никуда не ездить, ничего не рассказывать добавилось и другое. Не в почете было даже тусоваться на собственном форуме forum.drweb.com, короче решили обложить "спецов" со всех сторон, гаечки потуже закрутить да и побольше деятельность симулировать, читай DiabloNova посты на их же новости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Давайте еще что-нибудь техническое обсудим, я как раз в отпуске ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky
Но главное, сервис, с которого стартует драйвер - ветка реестра, ее не было. :(

Да, есть такой момент. Autorun и Drivers&Services в нашем продукте пока не реализованы на низком уровне, поэтому скрытые ветки реестра не видны.. Будет добавлено в одной из следующих итераций.

Давайте еще что-нибудь техническое обсудим, я как раз в отпуске ;)

Я за :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Дмитрий, а как проверить на предмет Cidox - VBR?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky
Дмитрий, а как проверить на предмет Cidox - VBR?

Напрямую - пока к сожалению никак. См. http://www.anti-malware.ru/forum/index.php...st&p=134575 и след. пост..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky

Здравствуйте!

Представляю вашему вниманию Vba32 AntiRootkit 3.12.5.5 beta build 424 !

Ссылки для скачивания прежние:

http://anti-virus.by/en/beta.shtml

ftp://anti-virus.by/beta/vba32arkit_beta.7z

ftp://anti-virus.by/beta/vba32arkit_beta.zip

Что нового по сравнению с пребетой:

+ Добавлен ключ командной строки /nodmsa, включающий режим совместимости.

Если у вас проблемы с запуском антируткита, укажите данный ключ и код прямого доступа к контроллеру/ам будет деактивирован. С появлением данной опции больше держать предыдущую бету в паблике не считаю необходимым.

+ Vba32 Defender: добавлен контроль целостности файлов, занесённых в белый список

+ Поиск скрытых драйверов по MZ-PE заголовкам в системном пуле оставлен только для систем Vista и старше

+ Опция Restore MBR and force reboot

Привет Юре Паршину :rolleyes:

+ Возможность извлекать девайсы из стека устройств ( DetachDevice )

Полезная возможность. Например, при лечении Necurs и не только.

* Исправлены некоторые баги и зависания.

* Выложил файл помощи на русском языке

Отдельное спасибо K_Mikhail и rkhunter, принимавшим активное участие в тестировании продукта.

Как всегда с радостью ждём замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit[at]anti-virus.by Это позволит сделать продукт лучше

P.S. Планирую постепенно начинать выкладывать инструкции по лечению конкретных заражений с помощью Vba32 AntiRootkit, например, такие:

http://anti-virus.by/en/doc/Vba32%20AntiRo...20vs%20TDL2.pdf

http://anti-virus.by/en/doc/Vba32%20AntiRo...20vs%20TDL4.pdf

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky

Вернули проверку АВ-ядром, следующей бетой снова можно будет пользоваться в нескольких режимах. Примеры детекта активных заражений:

max___4.PNG

tdl3.PNG

post-13504-1322642597_thumb.png

post-13504-1322642623_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky

Здравствуйте!

Представляю вашему вниманию Vba32 AntiRootkit 3.12.5.6 beta build 493 !

Внимание! Ссылки для скачивания немного изменились ( подробнее ниже ):

http://anti-virus.by/en/beta.shtml

ftp://anti-virus.by/pub/beta/vba32arkit_beta.zip ( обычная версия, ~4 Mb )

ftp://anti-virus.by/pub/beta/vba32arkit_full_beta.zip ( полная версия с антивирусным ядром и базами, ~100 Mb )

Список изменений относительно версии 3.12.5.5:

+ Анализ загрузочных секторов логических дисков ( только NTFS ). Детект, просмотр, дамп и восстановление

нестандартных и подменённых загрузчиков. Сохранение в логе дампа загрузочных секторов основного раздела

Позволяет детектировать/лечить Cidox/Carberp. Обратите внимание, некоторые "кряки" для Windows модифицируют VBR - антируткит их детектирует как нестандартные и после восстановления ваша "активация" теряется.

+ Возможность использовать антивирусное ядро VBA32 для проверки подменённых, залоченных файлов, а также для

проверки загрузочных секторов ( MBR & VBR )

Значительно расширили интерфейс взаимодействия антируткита с антивирусным ядром. Теперь антируткит доступен для скачивания в двух вариантах - обычном и полном. В полном варианте вместе с антируткитом поставляются антивирусное ядро и актуальные базы ( архив пересобирается ежедневно ).

+ Опция Force Delete

Позволяет удалять файлы, открытые с эксклюзивным доступом / залоченные с помощью ф-и LockFile. Для модулей процессов доступна оцпия - "Unmap in all processes and force delete"

* Расширена функциональность сканера в Low-Level Disk Access Tool

Добавлена возможность проверки загрузочных разделов и системной директрории. Функционал будет продолжать расширяться.

* Улучшена стабильность работы модуля прямого чтения

Решены проблемы с чипсетами nForce, модуль прямого чтения ведёт себя намного более стабильно. Пока не идеально ( ключ /nodmsa по-прежнему доступен ), но мы к этому вплотную приблизились :)

* Улучшена общая стабильность работы программы

Исправлены возможные вылеты в BSOD на некоторых вариантах MAX++, исправлены ошибки в детекте некоторых версий Sinowal'ов.

* Доработан файл отчета

* Доработан файл помощи на русском языке

Как всегда отдельное спасибо K_Mikhail, принимавшему активное участие в тестировании альфа-версии продукта.

С радостью ждём замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit[at]anti-virus.by Это позволит сделать продукт лучше !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®
В полном варианте вместе с антируткитом поставляются антивирусное ядро и актуальные базы ( архив пересобирается ежедневно ).

То бишь онлайн-апдейта нет?

Обратите внимание, некоторые "кряки" для Windows модифицируют VBR - антируткит их детектирует как нестандартные и после восстановления ваша "активация" теряется.

Варезники буду негодовать. Мало того, что бесплатные антивирусные утили убивали их патчи-ключеделы за ворованную Темиду, теперь ещё и антируткит будет рубить "лицензию". Начнётся срач о сговоре с M$ :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky
То бишь онлайн-апдейта нет?

Нет, и сделано это намеренно.

Варезники буду негодовать. Мало того, что бесплатные антивирусные утили убивали их патчи-ключеделы за ворованную Темиду, теперь ещё и антируткит будет рубить "лицензию". Начнётся срач о сговоре с M$ :)

Их право. Мы долго думали, но если там по факту модифицированный загрузчик ? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®
Нет, и сделано это намеренно.

Это понятно. Два зайца: антируткит и ниша портабельных бесплатных сканеров.

Их право. Мы долго думали, но если там по факту модифицированный загрузчик ?

Whitelist-база, нет? :) Их ведь не так уж и много на самом деле.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

И ещё - я так понял, что теперь Vba32 AntiRootkit dll и Vba32 AntiRootkit Check dll радостно заменились на GDI+ и С++ Runtime? Или их забыли вложить в архив?

P.S. А может я просто уже отстал за развитием и это давно заменилось?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky
Whitelist-база, нет? :) Их ведь не так уж и много на самом деле.

Не всё так просто. Не буду вдаваться в подробности, но гипотетически возможна ситуация, когда малварь будет маскироваться под данный тип кряков. И соответственно, "вайтлистится".

И ещё - я так понял, что теперь Vba32 AntiRootkit dll и Vba32 AntiRootkit Check dll радостно заменились на GDI+ и С++ Runtime? Или их забыли вложить в архив?

P.S. А может я просто уже отстал за развитием и это давно заменилось?

Отстали :rolleyes: От vba32ar.dll и vba32arch.dll в виде отдельных модулей мы отказались, наверное, уже пару лет как :D Их функционал полностью перенесён в .exe

gdiplus.dll нужна только для Windows 2000, и то в очень редких случаях

c++ runtime нужен для работы антивирусного ядра, для антируткита рантайм-библиотеки не нужны.

Исполняемый файл полностью самодостаточный :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky

Обновили билд, с сегодняшнего дня доступна для скачивания версия 3.12.5.6 build 500 !

Changelog:

* Улучшена стабильность Vba32 Defender

* Улучшена стабильность работы модуля прямого чтения

* Исправлены незначительные ошибки в реализации GUI

* Доработан файл помощи на русском языке

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky

Всем привет!

Представляю вашему вниманию Vba32 AntiRootkit 3.12.5.7 beta build 588 !

Ссылки для скачивания прежние:

http://anti-virus.by/en/beta.shtml

ftp://anti-virus.by/pub/beta/vba32arkit_beta.zip ( обычная версия, ~4 Mb )

ftp://anti-virus.by/pub/beta/vba32arkit_full_beta.zip ( полная версия с антивирусным ядром и базами, ~100 Mb )

Список изменений относительно версии 3.12.5.6:

+ Механизм разбора файлов реестра. Прямой доступ к реестру осуществляется в окнах Autorun и

Drivers & Services ( from Registry ), а также при сборе информации о системе ( пункт Registry )

Давно следовало сделать, но руки не доходили :rolleyes: Теперь данный функционал реализован.

+ Окно Low-Level Registry Access tool. Работа со скрытыми, заблокированными и подменёнными ключами

реестра

Данное окно пока находится в "зачаточном" состоянии. В следующей сборке будут добавлены сканер, а также расширен список возможных действий.

+ Лечение буткитов, модифицирующих таблицу разделов MBR

В частности, Rootkit.Boot.sst

+ Vba32 Defender: добавлен вывод информации о коммандной строке и Id родителя ( при запуске процессов ).

Возможность блокирования операций создания веток реестра, а также изменения значений в ключах реестра

+ Опция Reboot on Exit

Эти дополнения необходимы для лечения угроз, постоянно перезаписывающих свои ключи в реестре. К таким относятся некоторые модификации TDSS, ZBot, Rustock и т.п.

+ Поддержка Windows 8 Consumer Preview. Поддержка Windows 8 Developer Preview прекращена

Стараемся поддерживать самые новые сборки :rolleyes:

- Опция Force reset

Теперь с уверенностью можно сказать, что этот функционал больше не нужен. Force reboot справляется во всех известных случаях.

* Улучшена общая стабильность работы программы

* Улучшена стабильность работы модуля прямого чтения

* Исправлены проблемы в работе Vba32 Defender

* Исправлены проблемы в модуле самозащиты

* Исправлены ошибки в реализации GUI

Над багофиксом и стабильностью поработали достаточно серьёзно.

* Доработан файл помощи на русском языке

Как всегда отдельное спасибо K_Mikhail, принимавшему активное участие в тестировании альфа-версии продукта.

С радостью ждём замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit[at]anti-virus.by Это позволит сделать продукт лучше !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525
С радостью ждём замечаний/предложений/дампов. Это позволит сделать продукт лучше !

Сделать русский интерфейс!(а не файлы помощи). Ведь не буржуйский продукт.. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky
Сделать русский интерфейс!(а не файлы помощи). Ведь не буржуйский продукт.. :rolleyes:

Пока поддержку языков добавлять не видим особого смысла - интерфейс не сложный. Тем не менее, локализация будет в одной из следующих выпусков.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
newbieHelper
Ведь не буржуйский продукт.. :rolleyes:

А что, москальский?

Отредактировал newbieHelper
  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Что-то ссылки на скачивание третьи сутки не доступны??

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky
Что-то ссылки на скачивание третьи сутки не доступны??

Только что перепроверил - все ссылки рабочие. И были доступны всё это время..

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Хм, опера не пускает. :unsure:http://i5.pixs.ru/storage/4/6/6/ScreenShot...166_4631466.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Groft

Работоспособность ссылок подтверждаю. Проверьте настройки фаервола\Oперы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525
Работоспособность ссылок подтверждаю. Проверьте настройки фаервола\Oперы.

Не понимаю почему Опера блокирует, пришлось с Dragon браузера скачивать.

Dmitry Varshavsky

Пока поддержку языков добавлять не видим особого смысла - интерфейс не сложный.

Совсем простенький.. )

Только так и не понял, что дальше делать, по окончании сканирования. :huh:

Приведен скрин, (один фрагмент из результата). Где красным отмечены нормальные программы. Сама себя VBA тоже нашла.. :rolleyes:

Что делать с результатами? Т. к -не исправить, не удалить.., ничего не нашел..

Да, сканировал в обычном режиме, т.к в "усиленном", через пять минут вылетает в синий экран.. :rolleyes:

http://i5.pixs.ru/storage/6/9/5/ScreenShot...117_4644695.jpgScreenShot_2104117_4644695.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Groft
Dmitry Varshavsky

Совсем простенький.. )

Только так и не понял, что дальше делать, по окончании сканирования. :huh:

Приведен скрин, (один фрагмент из результата). Где красным отмечены нормальные программы. Сама себя VBA тоже нашла.. :rolleyes:

Что делать с результатами? Т. к -не исправить, не удалить.., ничего не нашел..

Да, сканировал в обычном режиме, т.к в "усиленном", через пять минут вылетает в синий экран.. :rolleyes:

http://i5.pixs.ru/storage/6/9/5/ScreenShot...117_4644695.jpgScreenShot_2104117_4644695.jpg

1) После падения в синий экран должен был образоваться дамп памяти, который нужно выслать нам на почту: arkit[@]anti-virus.by. Для уменьшения размера заархивируйте архиватором.

2) По поводу скриншота. Для предметного разговора нужно посмотреть файл отчета. Без него в Вашем случае трудно что-либо сказать. Если хотите получить ответ - присылайте также на почту. Будем разбираться :)

3) По поводу действий над объектами. Вы создали файл отчета, в нем не предусмотрены действия над объектами. Для выполнениям действий нужно открыть в главном окне "Tools" и выбрать нужный раздел

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.1.10.
    • PR55.RP55
      1) По поводу реестра и восстановления. Некоторые программы при работе создают копию реестра. Например в корне диска от FRST  т.е. предлагаю добавить в uVS поиск таких копий. Единственно проверять копии на соответствие Системе. В образ писать информацию о такой копии и дату её создания. 2) Окно с твиками в будущем разбить на два окна, твики работающие с реестром выделить в отдельное окно. 3) В Doc - добавить  информацию по твику 35 и его возможном применении с виртуализацией. 4) Проверять возможность загрузиться с другого диска\системы и добавлять в Инфо. сведения о возможности загрузиться с другого диска\системы. Это я о том, что возможно у PC были\есть несколько пользователей и человек просто не знает, что на дисках есть другие системы.  
    • demkd
      С виртуализацией можно удалять все, защиты от нее практически нет. Выполнить 45-й твик.

      ---------------------------------------------------------
       4.99.12
      ---------------------------------------------------------
      o При удалении исключений Defender-а теперь не_используется powershell из-за неадекватного
         поведения антивируса Kaspersky Free. Теперь удаление производится через сам Defender без
         посредников.
         (!) Если Defender отключен ИЛИ неисправен ИЛИ у вас установлен и АКТИВЕН другой антивирус
         (!) то удаление исключений возможно лишь при использовании виртуализации реестра
         (!) ИЛИ при приостановке защиты этого антивируса.
         (!) Я рекомендую отключать антивирус перед запуском, он все равно бесполезен
         (!) и лишь существенно замедляет и усложняет процесс лечения.

       o Теперь в лог выводится информация о зарегистрированных в системе антивирусах/фаерволах и их состоянии.
         (Доступно для Windows Vista+)

       o Улучшена функция поиска неизвестных DLL в адресном пространстве uVS, теперь она более устойчива
         к мерам противодействия поиску.

       o Удалено ошибочное сообщение в логе для Windows Vista о блокировке kernelbase.dll,
         которой в этой системе нет.

       o Антисплайсинг: расширен список контролируемых функций.

       
    • PR55.RP55
      Посмотрел тему: https://forum.kasperskyclub.ru/topic/466078-privetstvuju-slovil-majner-po-nazvaniem-toolbtcmine2782/ Возможно имеет смысл  - выполнение  Твика #35  с виртуализацией реестра ? т.е. именно отдельный твик с виртуализацией? ( для обхода защит\ы ) ------- А как средствами uVS  удалить запись типа: Запись из Лога: Обнаружена поврежденная задача: : Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\1EOSv3 Scheduler onLogOn Собственно это единственная запись\информация. Другой информации в uVS нет. т.е.  если нет записей = иной информации, то и применить к ней команды из интерфейса невозможно. т.е. нужно или отдельно задействовать cmd и\или открывать  taskschd как-то это...  
    • santy
      Все получилось. Неудаляемые из нормального режима записи с блокировкой запуска антивируса получилось удалить твиком 35 после интеграции uVS в меню дополнительных параметров загрузки. (Обошлось без загрузочного диска.)
×